Pesquisadores de cibersegurança identificaram dezenas de extensões do Microsoft Visual Studio Code (VS Code) no repositório Open VSX associadas a uma campanha persistente de roubo de informações batizada de GlassWorm.
O conjunto reúne 73 extensões, todas identificadas como cópias de versões legítimas.
Dessas, seis foram confirmadas como maliciosas, enquanto as demais funcionavam como pacotes aparentemente inofensivos, criados para atrair downloads e ganhar a confiança dos usuários antes de revelar sua verdadeira finalidade em uma atualização posterior.
Segundo a empresa de segurança de aplicações Socket, que acompanha a versão mais recente sob o nome GlassWorm v2, todas as extensões foram publicadas no início do mês.
Ao todo, mais de 320 artefatos já foram identificados desde 21/12/2025.
A lista das extensões maliciosas inclui:
outsidestormcommand.monochromator-theme
keyacrosslaud.auto-loop-for-antigravity
krundoven.ironplc-fast-hub
boulderzitunnel.vscode-buddies
cubedivervolt.html-code-validate
winnerdomain17.version-lens-tool
Além de copiar nomes de pacotes legítimos com pequenos erros de digitação, como no caso de CEINTL.vscode-language-pack-tr em comparação com Emotionkyoseparate.turkish-language-pack, os pacotes clonados usam o mesmo ícone e a mesma descrição das versões originais.
O objetivo é enganar desenvolvedores desavisados e levá-los a instalar as extensões.
Esse tipo de “confiança visual” funciona como uma tática eficaz de engenharia social, elevando de forma orgânica o número de instalações antes que o pacote seja contaminado e passe a distribuir malware para usuários posteriores.
A divulgação ocorre em um momento em que os threat actors por trás da campanha vêm evoluindo rapidamente suas táticas.
Eles passaram a usar pacotes adormecidos e dependências transitivas para evitar a detecção, ao mesmo tempo em que recorrem a droppers baseados em Zig para implantar uma segunda extensão VSIX hospedada no GitHub, capaz de infectar todos os ambientes de desenvolvimento integrados, ou IDEs, presentes na máquina do desenvolvedor.
As extensões identificadas pela Socket funcionam como um carregador inofensivo para o payload real, que é uma extensão VSIX obtida no GitHub e instalada em cada IDE encontrado no sistema, incluindo VS Code, Cursor, Windsurf e VSCodium, por meio do comando "--install-extension".
Independentemente do método usado, o objetivo final é o mesmo: executar malware que evita sistemas russos, roubar dados sensíveis, instalar um trojan de acesso remoto (RAT) e implantar de forma furtiva uma extensão maliciosa baseada em Chromium para capturar credenciais, favoritos e outras informações.
"Essa abordagem alcança o mesmo resultado da variante baseada em binário, mas mantém a lógica de entrega em JavaScript ofuscado", afirmou a Socket.
"A extensão atua como um carregador, enquanto o payload é recuperado e executado após a ativação."
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...