Openvsx

A campanha Glassworm está em uma nova fase, visando o ecossistema OpenVSX com 73 extensões ‘dormidas’ que se tornam maliciosas após uma atualização. Seis dessas extensões já foram ativadas e estão entregando malware, enquanto as demais permanecem inativas ou suspeitas. Inicialmente, as extensões parecem benignas, mas revelam a verdadeira intenção do atacante em um estágio posterior. Os pesquisadores da empresa de segurança Socket destacam que essa estratégia é uma mudança em relação a ondas anteriores, onde o código malicioso estava embutido nas extensões. As extensões clonadas de listagens legítimas visam enganar desenvolvedores menos atentos. Elas atuam como carregadores que buscam o malware de diferentes maneiras, como através de pacotes VSIX do GitHub ou módulos compilados específicos da plataforma. Embora os detalhes técnicos do novo payload não tenham sido divulgados, ataques anteriores focaram em roubo de dados de carteiras de criptomoedas e credenciais de desenvolvedores. A Socket recomenda que desenvolvedores que instalaram essas extensões façam a rotação de segredos e limpem seus ambientes.

Um novo ataque de malware chamado GlassWorm, que utiliza extensões comprometidas do OpenVSX, está focado em roubar senhas, dados de carteiras de criptomoedas e credenciais de desenvolvedores em sistemas macOS. O ataque começou em outubro de 2023, quando um desenvolvedor legítimo teve sua conta acessada e atualizações maliciosas foram enviadas para quatro extensões, que já haviam sido baixadas 22.000 vezes. O malware se esconde usando caracteres Unicode invisíveis e permite acesso remoto via VNC e proxy SOCKS. A campanha, que afeta exclusivamente sistemas macOS, coleta dados de navegadores, aplicativos de carteira e informações do sistema, enviando tudo para a infraestrutura do atacante. A equipe de segurança da Socket notificou a Fundação Eclipse sobre as publicações não autorizadas, que foram removidas, exceto uma extensão que foi completamente eliminada. Embora as versões atuais das extensões estejam limpas, desenvolvedores que baixaram as versões maliciosas devem realizar uma limpeza completa do sistema e trocar todas as suas senhas.

O malware GlassWorm representa uma nova ameaça no cenário de ataques à cadeia de suprimentos, sendo o primeiro worm a atacar extensões do VS Code no marketplace OpenVSX. Detectado inicialmente na ferramenta de produtividade CodeJoy, o malware utiliza caracteres especiais de Unicode que aparecem como espaços em branco, tornando o código invisível tanto para revisores humanos quanto para ferramentas de análise automática. Após a instalação, o GlassWorm coleta credenciais sensíveis, como tokens do NPM e credenciais do GitHub, além de escanear extensões de carteiras de criptomoedas para drenar fundos. O malware opera com uma infraestrutura de comando e controle descentralizada, utilizando a blockchain Solana para comunicação, o que torna sua remoção extremamente difícil. Além disso, ele emprega eventos do Google Calendar para garantir a persistência de sua operação. Com mais de 35 mil instalações detectadas, o GlassWorm exemplifica os riscos exponenciais que os worms modernos representam para desenvolvedores e usuários. A situação exige atenção redobrada das equipes de segurança, especialmente em um ambiente onde a revisão de código se mostrou insuficiente para detectar tais ameaças.