Em um cenário onde desenvolvedores confiam cegamente nas ferramentas que utilizam diariamente, surge uma ameaça que desafia os conceitos tradicionais de segurança: o Glassworm. Este malware não é apenas mais um vírus comum, é uma sofisticação técnica que combina invisibilidade, autopropagação e infraestrutura descentralizada para criar o que especialistas consideram um dos ataques mais avançados à cadeia de suprimentos de software já registrados.
Descoberto pela primeira vez em outubro de 2025, o Glassworm retornou em sua terceira onda de ataques, desta vez com 24 novos pacotes Bleeping Computer infiltrados nos marketplaces OpenVSX e Microsoft Visual Studio. O que torna essa campanha particularmente alarmante é sua persistência: mesmo após remoções e medidas de contenção declaradas pelas plataformas, o malware continua reaparecendo com novas variantes e técnicas cada vez mais sofisticadas.
A engenhosidade por trás do ataque
O Glassworm utiliza caracteres Unicode invisíveis que não são renderizados em editores de código, fazendo com que o código malicioso literalmente desapareça Dark Reading. Essa técnica revolucionária quebra completamente os processos tradicionais de revisão de código. Desenvolvedores podem literalmente olhar para um arquivo infectado e ver apenas seu código legítimo, sem qualquer indício da presença do malware.
Uma vez instalado em ambientes de desenvolvimento, o malware tenta roubar contas GitHub, npm e OpenVSX, além de dados de carteiras de criptomoedas de 49 extensões diferentes Bleeping Computer. Mas a sofisticação não para por aí. O malware também implanta um proxy SOCKS para rotear tráfego malicioso através da máquina da vítima e instala o cliente HVNC para dar aos operadores acesso remoto furtivo Bleeping Computer.
Infraestrutura que não pode ser derrubada
Um dos aspectos mais preocupantes do Glassworm é sua arquitetura de comando e controle. O malware usa a blockchain Solana para comando e controle, tornando a infraestrutura resiliente a esforços de derrubada The Hacker News. Como as transações na blockchain não podem ser modificadas ou excluídas, os atacantes criaram um sistema de C2 essencialmente indestrutível. Para garantir ainda mais resiliência, utiliza o Google Calendar como mecanismo de C2 alternativo The Hacker News.
A terceira onda: evolução e expansão
A terceira onda descoberta pelo pesquisador John Tuckner da Secure Annex mostra que os nomes dos pacotes indicam um escopo de alvos amplo, cobrindo ferramentas e frameworks populares como Flutter, Vim, Yaml, Tailwind, Svelte, React Native e Vue Bleeping Computer. A estratégia é clara: atacar onde os desenvolvedores mais confiam.
Pesquisadores observaram que a nova geração do Glassworm embute implantes em Rust dentro dos pacotes de extensão, além dos scripts JavaScript ofuscados por Unicode CISO Advisor. Essa evolução técnica demonstra que os atacantes estão constantemente refinando suas técnicas para evitar detecção.
A metodologia de ataque também evoluiu. Extensões são frequentemente publicadas inicialmente como código benigno para passar por filtros automatizados, e uma vez aprovadas, são atualizadas com payloads maliciosos GBHackers. Além disso, os atacantes inflam artificialmente as contagens de downloads para fazer os pacotes parecerem legítimos e mais confiáveis nos resultados de busca.
O efeito dominó na cadeia de suprimentos
O aspecto mais perigoso do Glassworm é sua capacidade de autopropagação. O malware abusa das credenciais roubadas para comprometer extensões adicionais e estender ainda mais seu alcance, criando efetivamente um ciclo de autorreplicação que permite que se espalhe como um verme The Hacker News.
Até agora, cerca de 35.800 máquinas de desenvolvedores foram infectadas Dark Reading, mas especialistas alertam que esse número representa apenas uma fração do problema real, já que muitas infecções podem ainda não ter sido detectadas.
Implicações além do código
As consequências vão muito além de máquinas individuais comprometidas. Ao comprometer máquinas de desenvolvimento, o Glassworm obtém credenciais de plataformas de código, acesso interno contínuo via proxy SOCKS e capacidade de inserir backdoors em bibliotecas e projetos open source amplamente consumidos CISO Advisor.
Organizações que utilizam VS Code em seus workflows enfrentam o risco de movimentação lateral dentro de suas redes, onde máquinas de desenvolvedores comprometidas servem como pontos de entrada para violações mais profundas. A situação é particularmente grave considerando que as extensões do VS Code atualizam automaticamente por padrão, o que significa que desenvolvedores recebem versões maliciosas sem qualquer ação necessária.
PROTEJA SEU AMBIENTE DE DESENVOLVIMENTO AGORA
O Glassworm representa uma nova era de ameaças à segurança do software. Não espere até ser a próxima vítima.
Ações imediatas que você deve tomar:
✅ Audite suas extensões VS Code instaladas — Compare os nomes e publishers com listas de indicadores de comprometimento divulgadas por empresas de segurança
✅ Desabilite atualizações automáticas em ambientes críticos e implemente um processo de aprovação para atualizações de extensões
✅ Implemente inventários centralizados de extensões aprovadas e considere listas de permissão para sua organização
✅ Monitore atividades suspeitas em suas contas GitHub, npm e OpenVSX — verifique commits não autorizados e mudanças inesperadas
✅ Eduque sua equipe sobre os riscos de extensões não verificadas e a importância de baixar apenas de publishers confiáveis
A segurança da sua cadeia de suprimentos de software começa com vigilância. Compartilhe este alerta com sua equipe de desenvolvimento hoje mesmo.
