Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware GlassWorm v2

Malware GlassWorm v2

Por Mezo em Malware, Ladrões
Traduzir Para:

Pesquisadores de cibersegurança descobriram uma campanha maliciosa em larga escala envolvendo dezenas de extensões do Microsoft Visual Studio Code (VS Code) hospedadas no repositório Open VSX. A operação, identificada como GlassWorm, tem como foco o roubo de informações confidenciais de desenvolvedores e a invasão de ambientes de desenvolvimento.

Os investigadores descobriram 73 extensões suspeitas que imitam ferramentas legítimas. Destas, seis foram verificadas como maliciosas, enquanto as restantes parecem funcionar como pacotes "adormecidos" concebidos para ganhar a confiança do utilizador antes de serem posteriormente explorados através de atualizações.

Todas as extensões identificadas foram carregadas no início de abril de 2026. Desde 21 de dezembro de 2025, os pesquisadores vincularam mais de 320 artefatos maliciosos à infraestrutura mais ampla do GlassWorm.

Extensões maliciosas confirmadas

As seguintes extensões do Open VSX foram confirmadas como prejudiciais:

  • outsidestormcommand.monochromator-theme
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • Winnerdomain17.version-lens-tool

Engenharia social por meio de pacotes clonados

Muitas das extensões adormecidas imitam de perto pacotes confiáveis por meio de táticas de typosquatting. Por exemplo, os atacantes usaram nomes enganosos como CEINTL.vscode-language-pack-tr em vez do legítimo Emotionkyoseparate.turkish-language-pack.

Para reforçar a credibilidade, essas extensões falsas também copiaram os ícones e descrições originais. Essa estratégia de "confiança visual" ajuda os atacantes a aumentarem o número de instalações de forma natural, fazendo com que os pacotes pareçam autênticos e seguros.

Os atacantes adotam técnicas de entrega mais furtivas.

Pesquisadores relatam que os operadores do GlassWorm estão aprimorando ativamente seus métodos para evitar a detecção. Em vez de implantar o malware imediatamente, eles agora dependem de pacotes adormecidos e dependências transitivas ocultas que podem ser ativadas posteriormente.

A campanha também utiliza droppers baseados em Zig para instalar uma segunda extensão VSIX maliciosa hospedada no GitHub. Uma vez executado, o loader pode disseminar o payload por diversos ambientes de desenvolvimento integrados (IDEs) instalados no mesmo sistema.

Vários IDEs em risco

O malware é capaz de identificar e infectar diversas plataformas de desenvolvedores por meio do comando --install-extension, incluindo:

  • Microsoft VS Code
  • Cursor
  • Windsurf
  • VSCódio

Carga útil final projetada para roubo de dados e controle remoto.

Independentemente da via de infecção inicial, o objetivo final permanece o mesmo. O malware foi projetado para evitar sistemas localizados na Rússia, coletar informações confidenciais, implantar um cavalo de Troia de Acesso Remoto (RAT) e instalar secretamente uma extensão maliciosa de navegador baseada no Chromium.

Essa extensão de navegador pode capturar credenciais, favoritos e outros dados armazenados. Em algumas variantes, o mecanismo de entrega fica oculto dentro de um JavaScript ofuscado, onde a extensão atua apenas como um carregador enquanto o código malicioso real é baixado e executado após a ativação.

Tendendo

Mais visto

Carregando...