Campanha GlassWorm mira no ecossistema do Visual Studio Code

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões associadas à campanha GlassWorm, que continua a visar o ecossistema do Visual Studio Code (VS Code). As extensões, ainda disponíveis para download, incluem ‘ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ e ‘yasuyuky.transient-emacs’. A campanha, documentada pela Koi Security, utiliza extensões do Open VSX Registry e do Microsoft Extension Marketplace para roubar credenciais do GitHub e de carteiras de criptomoedas, além de implantar ferramentas de acesso remoto. O malware se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso, permitindo a replicação e a propagação em um ciclo autônomo. Apesar da remoção das extensões maliciosas pelo Open VSX, a ameaça ressurgiu, utilizando a mesma técnica de ofuscação para evitar detecções. A infraestrutura de comando e controle (C2) baseada em blockchain permite que os atacantes atualizem seus métodos de ataque com facilidade. A análise revelou que o ator de ameaças é de língua russa e utiliza uma estrutura de C2 de código aberto chamada RedExt. A GlassWorm também ampliou seu foco para o GitHub, utilizando credenciais roubadas para inserir commits maliciosos em repositórios.

Fonte: https://thehackernews.com/2025/11/glassworm-malware-discovered-in-three.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
10/11/2025 • Risco: ALTO
MALWARE

Campanha GlassWorm mira no ecossistema do Visual Studio Code

RESUMO EXECUTIVO
A campanha GlassWorm representa uma ameaça significativa ao ecossistema do Visual Studio Code, com extensões maliciosas que comprometem credenciais e sistemas. A utilização de técnicas de ofuscação e a infraestrutura de C2 baseada em blockchain aumentam a resiliência do ataque, exigindo atenção imediata das equipes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido ao roubo de credenciais e comprometimento de sistemas.
Operacional
Roubo de credenciais e comprometimento de redes internas.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

3 extensões maliciosas identificadas Indicador
49 carteiras de criptomoedas afetadas Contexto BR
3.402, 4.057 e 2.431 downloads das extensões maliciosas Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar extensões instaladas no VS Code e remover aquelas não reconhecidas.
2 Implementar políticas de segurança para restringir a instalação de extensões não verificadas.
3 Monitorar atividades de rede e logs de acesso para detectar comportamentos suspeitos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança das ferramentas de desenvolvimento amplamente utilizadas, que podem ser vetores de ataques significativos.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).