Executando verificação de segurança...
2
JonnyD
2 min de leitura ·

Glassworm o primeiro worm autopropagate que se espalha em extensões openVSX (VSCode e compativeis)

Essa exposição de vulnerabilidade é recente, eu só achei interessante como ataca justamente Devs e o que ela tenta roubar:

  • Rouba credenciais (NPM, GitHub, Git) para se espalhar.
  • Ataca 49 extensões de carteiras para roubar fundos.
  • Cria proxies SOCKS nas máquinas infectadas.
  • Instala VNC oculto para acesso remoto.

Eu vi isso no reddit, então não sei se o koi.ai é super confiável

Tradução do Resumo do artigo ali:
`Um mês depois do Shai Hulud ter se tornado o primeiro worm autorreplicante no ecossistema npm, acabamos de descobrir o primeiro worm do mundo mirando extensões do VS Code no marketplace OpenVSX.

Mas o GlassWorm não é apenas mais um ataque à cadeia de suprimentos. Está usando técnicas stealth que nunca vimos em ambiente real — caracteres Unicode invisíveis que fazem código malicioso literalmente desaparecer de editores de código. Combine isso com uma infraestrutura C2 baseada em blockchain que não pode ser derrubada, o Google Calendar como servidor de comando de backup, e um trojan de acesso remoto completo que transforma cada desenvolvedor infectado em um nó proxy criminoso.

Este é um dos ataques à cadeia de suprimentos mais sofisticados que já analisamos. E está se espalhando agora.

GlassWorm — coloca milhões em risco
O que o GlassWorm faz em sistemas infectados:

Coleta credenciais NPM, GitHub e Git para propagação pela cadeia de suprimentos

Mira em 49 diferentes extensões de carteiras de criptomoedas para drenar fundos

Desdobra servidores proxy SOCKS, transformando máquinas de desenvolvedores em infraestrutura criminosa

Instala servidores VNC ocultos para acesso remoto completo

Usa credenciais roubadas para comprometer pacotes e extensões adicionais, disseminando ainda mais o worm

Estado atual: Sete extensões do OpenVSX comprometidas em 17 de outubro de 2025. Total de downloads — 35.800. Dez extensões ainda distribuem malware enquanto você lê isto. A infraestrutura C2 do atacante está totalmente operacional — servidores de payload respondendo, e credenciais roubadas sendo usadas para comprometer mais pacotes.

Atualização (19 out 2025): Uma nova extensão infectada detectada no marketplace VSCode da Microsoft — ainda ativa.

O ataque entrou no ar ontem. A infraestrutura está ativa. O worm está se espalhando.`

Fonte: https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace

Carregando publicação patrocinada...
1
JonnyD
  • Autor
    Autor

ainda segundo o artigo essas são as extensões afetadas

OpenVSX Extensions (with malicious versions):

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

‍Microsoft VSCode Extensions:

[email protected]

parece tudo bem obsucoro, essa ultima parece ser o cline mas não é, deve ser um clone malicioso