Openvsx

Um novo ataque de malware chamado GlassWorm, que utiliza extensões comprometidas do OpenVSX, está focado em roubar senhas, dados de carteiras de criptomoedas e credenciais de desenvolvedores em sistemas macOS. O ataque começou em outubro de 2023, quando um desenvolvedor legítimo teve sua conta acessada e atualizações maliciosas foram enviadas para quatro extensões, que já haviam sido baixadas 22.000 vezes. O malware se esconde usando caracteres Unicode invisíveis e permite acesso remoto via VNC e proxy SOCKS. A campanha, que afeta exclusivamente sistemas macOS, coleta dados de navegadores, aplicativos de carteira e informações do sistema, enviando tudo para a infraestrutura do atacante. A equipe de segurança da Socket notificou a Fundação Eclipse sobre as publicações não autorizadas, que foram removidas, exceto uma extensão que foi completamente eliminada. Embora as versões atuais das extensões estejam limpas, desenvolvedores que baixaram as versões maliciosas devem realizar uma limpeza completa do sistema e trocar todas as suas senhas.

O malware GlassWorm representa uma nova ameaça no cenário de ataques à cadeia de suprimentos, sendo o primeiro worm a atacar extensões do VS Code no marketplace OpenVSX. Detectado inicialmente na ferramenta de produtividade CodeJoy, o malware utiliza caracteres especiais de Unicode que aparecem como espaços em branco, tornando o código invisível tanto para revisores humanos quanto para ferramentas de análise automática. Após a instalação, o GlassWorm coleta credenciais sensíveis, como tokens do NPM e credenciais do GitHub, além de escanear extensões de carteiras de criptomoedas para drenar fundos. O malware opera com uma infraestrutura de comando e controle descentralizada, utilizando a blockchain Solana para comunicação, o que torna sua remoção extremamente difícil. Além disso, ele emprega eventos do Google Calendar para garantir a persistência de sua operação. Com mais de 35 mil instalações detectadas, o GlassWorm exemplifica os riscos exponenciais que os worms modernos representam para desenvolvedores e usuários. A situação exige atenção redobrada das equipes de segurança, especialmente em um ambiente onde a revisão de código se mostrou insuficiente para detectar tais ameaças.