Pesquisadores de cibersegurança identificaram mais uma evolução da campanha GlassWorm, que agora utiliza um novo dropper em Zig projetado para infectar discretamente todas as IDEs integradas presentes na máquina de um desenvolvedor.
A técnica foi encontrada em uma extensão do Open VSX chamada “specstudio.code-wakatime-activity-tracker”, que se passava pelo WakaTime, uma ferramenta popular para medir o tempo que programadores passam dentro da IDE.
A extensão já não está mais disponível para download.
“A extensão [...] inclui um binário nativo compilado em Zig junto com seu código JavaScript”, afirmou o pesquisador da Aikido Security, Ilyas Makari, em uma análise publicada nesta semana.
“Não é a primeira vez que o GlassWorm recorre a código nativo compilado em extensões.
No entanto, em vez de usar o binário como payload diretamente, ele serve como uma forma discreta de indireção para o dropper conhecido do GlassWorm, que agora infecta secretamente todas as outras IDEs que consegue encontrar no sistema.”
A nova extensão identificada para o Microsoft Visual Studio Code, ou VS Code, é praticamente uma cópia do WakaTime, com exceção de uma alteração introduzida em uma função chamada “activate()”.
A extensão instala um binário chamado “win.node” em sistemas Windows e “mac.node”, um binário universal Mach-O, quando o sistema executa macOS.
Esses Node.js native addons são bibliotecas compartilhadas compiladas em Zig, carregadas diretamente no runtime do Node e executadas fora do sandbox de JavaScript, com acesso total ao sistema operacional.
Depois de carregado, o objetivo principal do binário é localizar todas as IDEs no sistema que oferecem suporte a extensões do VS Code.
Isso inclui o Microsoft VS Code e o VS Code Insiders, além de forks como VSCodium, Positron e várias ferramentas de codificação com inteligência artificial, como Cursor e Windsurf.
Em seguida, o binário baixa uma extensão maliciosa do VS Code, no formato .VSIX, a partir de uma conta do GitHub controlada pelo atacante.
A extensão, chamada “floktokbok.autoimport”, se faz passar por “steoates.autoimport”, uma extensão legítima com mais de 5 milhões de instalações no marketplace oficial do Visual Studio.
Na etapa final, o arquivo .VSIX baixado é gravado em um caminho temporário e instalado silenciosamente em todas as IDEs por meio do instalador CLI de cada editor.
A extensão de segunda fase do VS Code atua como um dropper que evita execução em sistemas russos, consulta a blockchain Solana para obter o servidor de comando e controle, ou C2, exfiltra dados sensíveis e instala um trojan de acesso remoto, ou RAT, que por fim implanta uma extensão do Google Chrome voltada ao roubo de informações.
Usuários que tenham instalado “specstudio.code-wakatime-activity-tracker” ou “floktokbok.autoimport” devem considerar o ambiente comprometido e realizar a rotação de todos os secrets.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...