A campanha Glassworm, que apareceu pela primeira vez nos marketplaces OpenVSX e Microsoft Visual Studio em outubro, está agora em sua terceira onda, com 24 novos pacotes adicionados a essas duas plataformas.
OpenVSX e Microsoft Visual Studio Marketplace são repositórios de extensões para editores compatíveis com o VS Code.
Eles são amplamente usados por desenvolvedores para instalar suporte a linguagens, frameworks, ferramentas, temas e outros complementos que aumentam a produtividade.
Enquanto o marketplace da Microsoft é a plataforma oficial para o Visual Studio Code, o OpenVSX é uma alternativa aberta e neutra, adotada por editores que não podem ou optam por não usar a loja proprietária da Microsoft.
A campanha foi documentada pela primeira vez pela Koi Security em 20 de outubro.
Glassworm é um malware que utiliza “caracteres Unicode invisíveis” para ocultar seu código e evitar detecção durante a revisão das extensões.
Após a instalação pelos desenvolvedores, o malware tenta roubar credenciais de contas do GitHub, npm e OpenVSX, além de informações de carteiras de criptomoedas presentes em 49 extensões infectadas.
Além disso, o Glassworm instala um proxy SOCKS para redirecionar tráfego malicioso pela máquina da vítima e utiliza um cliente HVNC que permite aos operadores acesso remoto furtivo.
Embora a infecção inicial tenha sido removida dos repositórios, o malware voltou a surgir em ambas as plataformas pouco tempo depois, com novas extensões e contas de publicadores maliciosos.
Antes disso, o OpenVSX havia declarado o incidente totalmente contido, após a rotação dos tokens de acesso comprometidos.
A reaparição da campanha foi detectada pelo pesquisador John Tuckner, da Secure Annex.
Ele destaca que os nomes dos pacotes indicam um amplo escopo de alvos, incluindo ferramentas e frameworks populares como Flutter, Vim, YAML, Tailwind, Svelte, React Native e Vue.
A Secure Annex identificou os seguintes pacotes na terceira onda:
**Microsoft Visual Studio Marketplace**
- iconkieftwo.icon-theme-materiall
- prisma-inc.prisma-studio-assistance
- prettier-vsc.vsce-prettier
- flutcode.flutter-extension
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.kluster-code-verify
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extension
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
**OpenVSX**
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-for-react
- flutcode.flutter-extension
- yamlcode.yaml-vscode-extension
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.solidity
Após aprovação nos marketplaces, os invasores enviam atualizações que introduzem o código malicioso.
Para aumentar a confiança dos usuários, eles também inflacionam artificialmente os números de downloads.
Essa manipulação não apenas confere uma aparência de legitimidade às extensões, mas também influencia os resultados das buscas, posicionando os pacotes infectados próximos aos projetos reais que imitam.
Do ponto de vista técnico, o malware também evoluiu.
Agora ele utiliza implantes desenvolvidos em Rust embutidos nas extensões, mantendo ainda o uso de caracteres Unicode invisíveis para ocultar trechos do código em certas situações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...