A campanha Glassworm está em uma nova fase, visando o ecossistema OpenVSX com 73 extensões ‘dormidas’ que se tornam maliciosas após uma atualização. Seis dessas extensões já foram ativadas e estão entregando malware, enquanto as demais permanecem inativas ou suspeitas. Inicialmente, as extensões parecem benignas, mas revelam a verdadeira intenção do atacante em um estágio posterior. Os pesquisadores da empresa de segurança Socket destacam que essa estratégia é uma mudança em relação a ondas anteriores, onde o código malicioso estava embutido nas extensões. As extensões clonadas de listagens legítimas visam enganar desenvolvedores menos atentos. Elas atuam como carregadores que buscam o malware de diferentes maneiras, como através de pacotes VSIX do GitHub ou módulos compilados específicos da plataforma. Embora os detalhes técnicos do novo payload não tenham sido divulgados, ataques anteriores focaram em roubo de dados de carteiras de criptomoedas e credenciais de desenvolvedores. A Socket recomenda que desenvolvedores que instalaram essas extensões façam a rotação de segredos e limpem seus ambientes.
Fonte: https://www.bleepingcomputer.com/news/security/glassworm-malware-attacks-return-via-73-openvsx-sleeper-extensions/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
27/04/2026 • Risco: ALTO
MALWARE
Nova onda da campanha Glassworm ataca ecossistema OpenVSX
RESUMO EXECUTIVO
A nova onda da campanha Glassworm representa um risco significativo para desenvolvedores e empresas que utilizam o ecossistema OpenVSX. Com extensões maliciosas que se tornam ativas após atualizações, a segurança dos dados e a conformidade regulatória estão em risco. A necessidade de ações imediatas para mitigar esses riscos é evidente.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados de carteiras de criptomoedas e credenciais de desenvolvedores.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
73 extensões maliciosas identificadas
Indicador
Seis extensões já ativadas
Contexto BR
Campanha afetou centenas de repositórios
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se extensões suspeitas estão instaladas.
2
Remover extensões identificadas como maliciosas e rotacionar segredos.
3
Monitorar continuamente atualizações de extensões e atividades suspeitas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas equipes de desenvolvimento e a proteção de dados sensíveis, especialmente em um cenário onde extensões maliciosas podem ser facilmente instaladas.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
