Malware GlassWorm se espalha de forma autônoma em extensões do VS Code usando código invisível
Quantum News 
Uma Nova Ameaça Sofisticada na Cadeia de Suprimentos de Software
Pesquisadores de segurança cibernética identificaram um novo worm auto-propagável, apelidado de GlassWorm, que está se espalhando através de extensões do Visual Studio Code (VS Code) disponíveis tanto no marketplace oficial da Microsoft quanto no Open VSX Registry. [4] Descoberto pela empresa Koi Security, este ataque representa uma evolução significativa nas ameaças à cadeia de suprimentos de software, visando diretamente os desenvolvedores. [2, 3]
Técnicas de Ocultação e Persistência Inovadoras
O GlassWorm se destaca por suas técnicas avançadas de evasão e controle. Uma de suas características mais notáveis é o uso de caracteres Unicode invisíveis para ocultar o código malicioso. [5] Essa tática permite que o malware passe despercebido em revisões de código manuais e por ferramentas de análise estática, pois o código malicioso literalmente não é visível no editor. [1, 5]
Além disso, a infraestrutura de comando e controle (C2) do malware é extremamente resiliente. Os atacantes utilizam a blockchain Solana para enviar instruções ao GlassWorm, uma abordagem que torna a desativação da infraestrutura quase impossível. [1, 3] Como um mecanismo de backup, o malware utiliza eventos do Google Calendar para obter URLs de payloads adicionais, aproveitando-se de um serviço legítimo que raramente é bloqueado por firewalls corporativos. [2, 4]
Impacto e Capacidades do GlassWorm
Uma vez que uma extensão infectada é instalada, o GlassWorm age de forma autônoma para se espalhar. Ele é projetado para roubar credenciais de desenvolvedor, incluindo tokens de acesso do NPM, GitHub e OpenVSX. [1] Com essas credenciais, o worm compromete outras extensões e publica novas versões infectadas, transformando cada vítima em um novo ponto de disseminação. [1, 4]
As funcionalidades do malware são extensas e perigosas, incluindo:
- Roubo de credenciais: Coleta de tokens e chaves de acesso de diversas plataformas de desenvolvimento. [7]
- Drenagem de Criptomoedas: O malware tem como alvo 49 tipos diferentes de carteiras de criptomoedas. [1]
- Implantação de Proxies: Transforma as máquinas dos desenvolvedores infectados em servidores proxy SOCKS, que podem ser usados para atividades criminosas. [4]
- Acesso Remoto Completo: Instala um servidor VNC oculto (HVNC), garantindo aos atacantes controle total sobre o sistema comprometido. [7]
Até o momento, a campanha já comprometeu diversas extensões, resultando em dezenas de milhares de downloads e afetando organizações globalmente. [4, 8] Acredita-se que atores de língua russa estejam por trás da operação. [8]
