GlassWorm volta a infectar extensões Open VSX

O malware GlassWorm voltou a infectar extensões no repositório Open VSX, semanas após sua exclusão do marketplace de extensões do VS Code, e agora também foi identificado em projetos no GitHub.

Nova campanha e propagação sofisticada

No início de outubro, quase uma dúzia de extensões infectadas foram registradas no Open VSX, visando roubo de credenciais NPM, GitHub e Git, além de fundos de cerca de 49 extensões de criptomoedas. Na ocasião, a Koi Security estimou cerca de 35 mil downloads dessas extensões comprometidas, alertando para a possibilidade de propagação a partir de pacotes instalados nas máquinas das vítimas.

O malware se destaca por usar seletores de variação Unicode para ocultar código malicioso dos editores e aproveitar a blockchain Solana como infraestrutura de comando e controle (C&C). O GlassWorm permite acesso remoto ao computador infectado, instalando servidores SOCKS proxy e VNC ocultos.

Contenção anterior e nova onda de infecções

Segundo a Open VSX, o ataque inicial foi rapidamente contido, com remoção das extensões afetadas até 21 de outubro e novas medidas de segurança implementadas. No entanto, em 6 de novembro, três novas extensões comprometidas foram identificadas, somando 10 mil downloads adicionais. Os criminosos passaram a usar transações na Solana para atualizar endereços de C&C e baixar cargas maliciosas subsequentes.

Exposição de dados e internacionalização dos ataques

A Koi Security conseguiu obter acesso ao servidor do atacante e identificou diversas vítimas, incluindo desenvolvedores, organizações dos EUA, Europa, Ásia, América Latina e até uma entidade governamental do Oriente Médio. Dados de keylogger mostram que o operador do GlassWorm fala russo, usa o framework C&C RedExt e múltiplas exchanges de criptomoedas e plataformas de mensagens.

Infectando também o GitHub e evolução do cenário

Segundo a Aikido Security, o mesmo ator malicioso foi encontrado disfarçando código perigoso em repositórios do GitHub, possivelmente com a ajuda de IA para legitimar commits e melhorias aparentes em projetos reais. O código malicioso é inserido usando Unicode para esconder sua presença dos revisores.

O episódio reforça o crescimento do risco na cadeia de suprimentos de software: extensões e repositórios amplamente utilizados podem servir de vetor para campanhas globais de infecção, espionagem e abuso de recursos computacionais. O trabalho conjunto com autoridades segue em andamento para notificar vítimas e derrubar a infraestrutura dos criminosos, mas a propagação campanha permanece ativa.