Pesquisadores em cibersegurança identificaram uma nova fase da campanha GlassWorm, considerada uma “escalada significativa” na forma de propagação do malware pelo registro Open VSX.
Diferentemente das versões anteriores, que exigiam a incorporação direta do loader em cada extensão maliciosa, agora os atacantes exploram os campos extensionPack e extensionDependencies para transformar extensões inicialmente inofensivas em vetores indiretos de entrega.
Segundo relatório da empresa de segurança Socket, divulgado na última sexta-feira, isso permite que um pacote aparentemente benigno comece a baixar uma extensão vinculada ao GlassWorm somente após conquistar a confiança do usuário.
Desde 31 de janeiro de 2026, a Socket detectou pelo menos 72 novas extensões maliciosas no Open VSX, todas direcionadas a desenvolvedores.
Esses plugins imitam utilitários populares, como linters, formatadores, ferramentas de deploy e assistentes de programação baseados em inteligência artificial, como Clade Code e Google Antigravity.
Entre elas estão nomes como angular-studio.ng-angular-extension, crotoapp.vscode-xml-extension e tamokill12.foundry-pdf-extension.
O Open VSX já tomou providências para removê-las do registro.
A campanha GlassWorm age de forma persistente desde outubro de 2025, infiltrando-se no Microsoft Visual Studio Marketplace e no Open VSX com extensões maliciosas desenhadas para roubar segredos, drenar carteiras de criptomoedas e usar sistemas infectados como proxies para outras ações criminosas.
Técnicas associadas ao ataque, como a inserção de caracteres Unicode invisíveis para ocultar código malicioso em pacotes npm, vêm sendo observadas desde março de 2025.
Na versão mais recente, além de manter características tradicionais — como evitar sistemas com localidade russa e usar transações da blockchain Solana para resolver comandos de controle (C2) — o GlassWorm ampliou a ofuscação e passa a rotacionar carteiras Solana para escapar da detecção.
A tática de abusar das dependências entre extensões permite que uma extensão funcione como instaladora de outra maliciosa, semelhante ao uso de dependências maliciosas em pacotes npm.
Assim, o atacante pode publicar inicialmente uma extensão inócua para passar pela revisão e depois atualizá-la incluindo uma dependência ligada ao GlassWorm, transformando o pacote em um veículo de entrega sem alterar sua funcionalidade aparente.
Em paralelo, a empresa Aikido associou o ator de ameaça por trás do GlassWorm a uma campanha massiva em repositórios open-source, na qual invasores inserem caracteres Unicode invisíveis para codificar um loader.
Esse código, invisível em editores e terminais, decodifica-se para baixar e executar um script secundário destinado a roubar tokens, credenciais e segredos.
Entre 3 e 9 de março de 2026, cerca de 151 repositórios no GitHub foram afetados.
A mesma técnica também foi detectada em dois pacotes npm, @aifabrix/miso-client e @iflow-mcp/watercrawl-watercrawl-mcp, evidenciando uma ação coordenada em múltiplas plataformas.
O pesquisador Ilyas Makari destacou que as alterações maliciosas são camufladas em commits que aparentam ser rotinas — ajustes na documentação, atualizações de versão, pequenas refatorações e correções de bugs — todas coerentes com o estilo dos projetos, o que sugere o uso de modelos de linguagem avançados para criar essas modificações de forma convincente.
Outro alerta veio da Endor Labs, que identificou 88 novos pacotes npm maliciosos publicados em três ondas, entre novembro de 2025 e fevereiro de 2026, por meio de 50 contas descartáveis.
Esses pacotes roubam informações sensíveis da máquina infectada, como variáveis de ambiente, tokens de CI/CD e metadados do sistema.
O que chama atenção é o uso de Remote Dynamic Dependencies (RDD), em que o arquivo package.json aponta para dependências hospedadas em URLs HTTP personalizadas, permitindo que o código malicioso seja alterado remotamente a qualquer momento, contornando inspeções automatizadas.
Embora esses pacotes tenham sido inicialmente associados à campanha PhantomRaven, a Endor Labs revelou que foram criados por um pesquisador de segurança em um experimento oficial.
Essa justificativa, contudo, foi questionada devido à coleta excessiva de dados, falta de transparência e rotatividade suspeita das contas e e-mails dos autores.
Em 12 de março de 2026, o responsável substituiu o payload malicioso de alguns pacotes por uma simples mensagem: “Hello, world!”.
A Endor Labs enfatiza que, embora a alteração seja positiva, ela evidencia o risco inerente a dependências apontadas para URLs externas.
Desenvolvedores mantêm controle total remoto sobre o código, podendo modificar ou desabilitar silenciosamente a funcionalidade de qualquer pacote que dependa dessas bibliotecas, sem precisar publicar novas versões.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...