Ataque Cadeia De Suprimentos

Pesquisadores de cibersegurança relataram um ataque à cadeia de suprimentos que afetou o Open VSX Registry, onde atores maliciosos não identificados comprometeram recursos de um desenvolvedor legítimo para distribuir atualizações maliciosas. Em 30 de janeiro de 2026, quatro extensões do Open VSX, publicadas pelo autor oorzc, foram substituídas por versões maliciosas que incorporavam o carregador de malware GlassWorm. Essas extensões, que antes eram consideradas utilitários legítimos e acumulavam mais de 22.000 downloads, agora estão associadas a um malware que visa roubar credenciais do macOS e dados de carteiras de criptomoedas. O ataque envolveu a violação das credenciais de publicação do desenvolvedor, possivelmente através de um token vazado ou acesso não autorizado. As versões maliciosas foram removidas do Open VSX, mas o impacto potencial é significativo, especialmente para ambientes corporativos, pois expõe informações sensíveis de desenvolvedores e pode permitir movimentos laterais em redes corporativas. O malware utiliza técnicas sofisticadas para evitar detecção e é ativado apenas em máquinas que não estão localizadas na Rússia, uma estratégia observada em ataques anteriores relacionados a grupos de ameaças de língua russa.

Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) chamado termncolor, que utiliza uma dependência chamada colorinal para executar um ataque em múltiplas etapas. O termncolor foi baixado 355 vezes, enquanto colorinal teve 529 downloads antes de serem removidos do PyPI. O ataque permite a execução remota de código e a persistência do malware por meio de um registro no Windows. O malware também pode infectar sistemas Linux, utilizando um arquivo compartilhado chamado terminate.so. A análise da atividade do autor do malware revelou que ele está ativo desde 10 de julho de 2025, e a comunicação com o servidor de comando e controle (C2) é realizada através do Zulip, um aplicativo de chat de código aberto. Além disso, um relatório da SlowMist alerta que desenvolvedores estão sendo alvo de ataques disfarçados de avaliações de emprego, levando à clonagem de repositórios do GitHub com pacotes npm maliciosos. Esses pacotes têm a capacidade de roubar dados sensíveis, como credenciais e informações de carteiras de criptomoedas. A situação destaca a necessidade de monitoramento constante dos ecossistemas de código aberto para evitar ataques à cadeia de suprimentos.