Pesquisadores de cibersegurança revelaram detalhes de um ataque à cadeia de suprimentos direcionado ao Open VSX Registry.
Neste caso, agentes mal-intencionados comprometeram os recursos de um desenvolvedor legítimo para distribuir atualizações maliciosas a usuários finais.
Em 30 de janeiro de 2026, quatro extensões consolidadas do Open VSX, desenvolvidas pelo usuário “oorzc”, tiveram versões infectadas publicadas.
Essas atualizações maliciosas incluíam o loader do malware GlassWorm, segundo relatório divulgado no sábado pelo pesquisador Kirill Boychenko, da empresa Socket Security.
As extensões, apresentadas como ferramentas legítimas para desenvolvedores — algumas com mais de dois anos desde a primeira publicação — acumulavam mais de 22 mil downloads antes das versões comprometidas.
De acordo com a Socket, o ataque à cadeia de suprimentos ocorreu por meio do comprometimento das credenciais de publicação do desenvolvedor.
A equipe de segurança do Open VSX avaliou que o incidente teve origem em um token vazado ou outro acesso não autorizado.
Desde então, as versões maliciosas foram removidas do registro.
A lista de extensões afetadas inclui:
- FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — versão 0.5.1)
- I18n Tools (oorzc.i18n-tools-plus — versão 1.6.8)
- vscode mindmap (oorzc.mind-map — versão 1.0.61)
- scss to css (oorzc.scss-to-css-compile — versão 1.3.4)
Segundo a Socket, as versões comprometidas tinham como objetivo entregar o loader do GlassWorm, malware associado a uma campanha conhecida.
Esse loader emprega técnicas avançadas de evasão, como o EtherHiding, para buscar endpoints de comando e controle (C2), executar código em tempo real e roubar credenciais do macOS, além de dados de carteiras de criptomoedas.
O malware é ativado somente após a análise da máquina comprometida, desde que a localização não seja na Rússia.
Essa estratégia visa evitar represálias contra os agentes dos ataques dentro do território russo, um padrão comum entre malwares originados ou ligados a atores de fala russa.
As informações coletadas pelo malware incluem:
- Dados dos navegadores Mozilla Firefox e baseados em Chromium (logins, cookies, histórico e extensões de carteira, como MetaMask)
- Arquivos de carteiras digitais (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance e TonKeeper)
- Banco de dados do iCloud Keychain
- Cookies do Safari
- Conteúdo do Apple Notes
- Documentos dos diretórios Desktop, Documents e Downloads
- Arquivos de configuração do FortiClient VPN
- Credenciais de desenvolvedor, como as localizadas em ~/.aws e ~/.ssh
O foco em informações de desenvolvedores representa um risco significativo, pois pode abrir brechas para comprometer contas em nuvem e viabilizar ataques laterais dentro de ambientes corporativos.
“Esse payload inclui rotinas para localizar e extrair materiais de autenticação usados em fluxos comuns, como a inspeção da configuração npm em busca de _authToken e artefatos de autenticação do GitHub, possibilitando acesso a repositórios privados, segredos de integração contínua e automação de releases”, explicou Boychenko.
Uma característica marcante desse ataque é a utilização direta de uma conta legítima comprometida para distribuir o malware.
Em ataques anteriores relacionados ao GlassWorm, os criminosos utilizavam técnicas como typosquatting e brandjacking para criar extensões fraudulentas.
“O agente malicioso se mistura aos fluxos normais de trabalho do desenvolvedor, oculta a execução por meio de loaders criptografados e desencriptados em tempo real, e utiliza memos da blockchain Solana como canal dinâmico para alternar a infraestrutura de staging, sem necessidade de republicar as extensões”, afirmou a Socket.
“Essas escolhas dificultam a detecção por indicadores estáticos, transferindo a vantagem para métodos baseados em comportamento e respostas rápidas.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...