Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões vinculadas à campanha GlassWorm, indicando que os atacantes continuam tentando explorar o ecossistema do Visual Studio Code (VS Code).
As extensões em questão, ainda disponíveis para download, são:
- ai-driven-dev.ai-driven-dev (3.402 downloads)
- adhamu.history-in-sublime-merge (4.057 downloads)
- yasuyuky.transient-emacs (2.431 downloads)
A campanha GlassWorm, documentada pela primeira vez pela Koi Security no final do mês passado, consiste no uso de extensões para VS Code distribuídas tanto no Open VSX Registry quanto no Microsoft Extension Marketplace.
O objetivo é roubar credenciais do Open VSX, GitHub e Git, drenar fundos de 49 diferentes extensões de carteiras de criptomoedas e instalar ferramentas adicionais para acesso remoto.
O malware se destaca pelo uso de caracteres Unicode invisíveis para ocultar código malicioso dentro dos editores e pela exploração das credenciais roubadas para comprometer outras extensões.
Esse mecanismo cria um ciclo de autorreplicação, permitindo que o malware se espalhe de forma semelhante a um worm.
Em resposta, o Open VSX identificou e removeu todas as extensões maliciosas, além de rotacionar ou revogar os tokens associados a partir de 21 de outubro de 2025.
No entanto, o relatório mais recente da Koi Security aponta que a ameaça ressurgiu, novamente utilizando a obfuscação com caracteres Unicode invisíveis para evitar a detecção.
“Os atacantes publicaram uma nova transação na blockchain Solana, atualizando o endpoint de comando e controle (C2) para o download do payload da próxima etapa”, explicaram os pesquisadores Idan Dardikman, Yuval Ronen e Lotan Sery.
“Isso demonstra a resiliência da infraestrutura C2 baseada em blockchain — mesmo que os servidores de payload sejam derrubados, o atacante pode postar uma nova transação gastando apenas uma fração de centavo, e todas as máquinas infectadas automaticamente baixam a nova localização.”
Além disso, a Koi Security descobriu um endpoint inadvertidamente exposto no servidor do atacante, que revelou uma lista parcial de vítimas espalhadas pelos EUA, América do Sul, Europa e Ásia, incluindo uma grande entidade governamental do Oriente Médio.
A análise detalhada também revelou informações de um keylogger encontrado na máquina do próprio atacante, oferecendo pistas sobre a origem do GlassWorm.
Acredita-se que o grupo por trás da campanha seja de língua russa e que utilize um framework open-source chamado RedExt para gerenciamento da infraestrutura C2 via extensão de navegador.
“São organizações e pessoas reais cujas credenciais foram roubadas, máquinas que podem estar servindo como proxies para atividades criminais e redes internas possivelmente comprometidas”, alertou a Koi Security.
Esse desenvolvimento ocorre pouco depois da publicação de outra pesquisa da Aikido Security, que mostrou que o GlassWorm ampliou seu foco para atacar o GitHub, usando credenciais roubadas para inserir commits maliciosos em repositórios.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...