- O GlassWorm reaparece com três extensões maliciosas no Open VSX que afetam o VS Code.
- Utilizando caracteres Unicode invisíveis e C2 dinâmico através de transações em Solana.
- Roubo de credenciais (GitHub, Open VSX e Git) e esvaziamento de 49 extensões de carteiras de criptomoedas.
- Impacto global com vítimas na Europa e recomendações práticas para desenvolvedores e empresas.
A campanha malwares GlassWorm está de volta à ativa. no ecossistema do Visual Studio Code com um novo lote de extensões maliciosas que, até a data da investigação recente, ainda estavam disponíveis para download no Open VSX. A operação combina técnicas de ofuscação com Unicode invisível e uma infraestrutura de comando e controle que é atualizada por meio de transações na blockchain Solana.
Após uma limpeza inicial em outubro, quando Open VSX removeu extensões maliciosas E depois de rotacionar ou revogar tokens comprometidos, o mesmo agente reaparece com novos artefatos, novamente visando desenvolvedores. O objetivo inclui roubar credenciais de GitHub, Open VSX e Git, além do esvaziamento de fundos de 49 extensões de portfólio de criptomoedas e a instalação de serviços públicos para acesso remoto.
O que é o GlassWorm e como ele está se infiltrando no ecossistema do VS Code?
GlassWorm é uma campanha que aproveita Extensões de código do Visual Studio tanto no Microsoft Marketplace quanto no registro Open VSX para introduzir código malicioso. Sua característica distintiva é o uso de caracteres Unicode invisíveis que não são imediatamente aparentes no editor, mas que permitem que o JavaScript incorporado seja executado dentro de extensões que parecem legítimas.
O malware não apenas rouba informações: ele também busca autopropagação em modo "verme"Comprometendo outras contas e projetos com as credenciais roubadas. Isso permite que eles expandam seu alcance lançando novas versões de extensões, inserindo backdoors e implantando ferramentas. Acesso remoto e registro de teclas no equipamento afetado.
Outro aspecto particularmente sensível do GlassWorm é o roubo de carteira de criptomoedas por meio de dezenas de extensões relacionadas a carteiras digitais. Essa combinação de roubo de identidade de desenvolvedores, manipulação de repositórios e ataques a ativos financeiros torna a campanha um risco significativo para equipes técnicas e organizações europeias.
A nova onda: extensões envolvidas e escopo
De acordo com análises independentes realizadas por diversas equipes, o ator retornou ao Open VSX com três extensões que compartilham o mesmo ofuscação com Unicode oculto e o mesmo método de atualização C2 da Solana. Juntos, eles superam facilmente o 10.000 Download, um volume que poderia ser inflado pelo próprio atacante para ganhar credibilidade.
- desenvolvimento orientado por IA.desenvolvimento orientado por IA
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
Embora a Open VSX tenha introduzido medidas de segurança após o primeiro incidente, estas Três prorrogações conseguiram escapar deles. utilizando as mesmas técnicas de ocultação. No momento da publicação da última análise, esses dados ainda estavam disponíveis no registro, o que reforça a necessidade de fortalecer os controles e de os usuários revisarem seus ambientes.
Infraestrutura de ataque e atribuição
O operador do GlassWorm atualiza seus endereços. comando e controle Publicar transações baratas na rede Solana. Essa abordagem proporciona resiliência: se um servidor de payload falhar, basta emitir uma nova transação para que os computadores infectados obtenham automaticamente a localização atualizada.
Uma exposição acidental de endpoint do servidor do atacante Isso permitiu a compilação de uma lista parcial de vítimas com presença nos Estados Unidos, América do Sul, Europa e Ásia, incluindo uma entidade governamental do Oriente Médio. Embora organizações espanholas específicas não tenham sido detalhadas, o alcance europeu sugere que equipes na UE Eles podem estar na mira.
A análise forense também recuperou registros de keylogger do operadorIsso sugere que o perpetrador é falante de russo e usa o framework de código aberto RedExt como parte de sua infraestrutura de C2 baseada em navegador. Essas peças se encaixam em um agente que combina conhecimento técnico, persistência e adaptabilidade.
Cronograma da campanha e plataformas afetadas
O GlassWorm foi documentado pela primeira vez no final de outubro, com uma dúzia de extensões acumuladas nos marketplaces do VS Code e do Open VSX. dezenas de milhares de downloads (um número provavelmente inflado). Após esse golpe inicial, o Open VSX removeu o conteúdo detectado e tokens rotacionados ou revogados associados em 21 de outubro.
Longe de diminuir o ritmo, o ator se voltou para GitHubusando credenciais roubadas para enviar commits maliciosos para repositórios. Semanas depois, retornou ao registro Open VSX com as três extensões mencionadas anteriormente, ampliando a campanha para múltiplas frentes, incluindo GitHub, NPM e Open VSXOs pesquisadores contabilizaram pelo menos 60 vítimas diferentes em uma lista parcial, o que sugere que o impacto real poderia ser maior.
Medidas de mitigação e recomendações para a Europa e Espanha
Para equipes de desenvolvimento: revise o inventário de extensões instaladas no VS Code, desinstale os suspeitos Verifique o editor Open VSX/Microsoft para confirmar o status do editor. Vale a pena prestar atenção... nomes semelhantes ou imitados, avaliações atípicas e mudanças recentes feitas pelo responsável pela manutenção.
Em relação às credenciais, recomenda-se girar fichas e chaves A partir do GitHub/Open VSX/Git, revogue PATs não utilizados, habilite a autenticação de dois fatores (2FA) e revise as chaves. SSHAs organizações devem fortalecer as políticas sobre assinatura e revisão das alterações (proteção de ramificações, revisões obrigatórias) e monitoramento da integridade em pipelines de CI/CD.
Para reduzir a superfície de risco, habilite o editor. exibição de caracteres invisíveisAplique verificadores de código e regras de segurança que detectem Unicode suspeito e fixe dependências e extensões críticas. Evite instalar extensões a partir de links compartilhados ou fontes não verificadas.
Se houver suspeita de comprometimento: isole o equipamento. revogar sessões ativas Para fornecedores, repositórios de auditoria e segredos comerciais, e notificar o registo/mercado e as autoridades policiais. Na UE, avaliar as obrigações de notificação ao abrigo do RGPD e NIS2 Quando apropriado, e coordenar a comunicação com os afetados.
A evolução do GlassWorm demonstra a capacidade dos atacantes de para se reagrupar e retornar Com novas extensões e canais C2 resilientes. Para o setor tecnológico europeu, a prioridade é reforçar os controles nos ambientes de desenvolvimento, aprimorar a gestão de credenciais e aumentar a supervisão de extensões e repositórios, evitando uma falsa sensação de segurança após uma retirada temporária.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.