Pesquisadores de segurança cibernética sinalizaram uma nova iteração da campanha GlassWorm que, segundo eles, representa uma “escalada significativa” na forma como ela se propaga através do registro Open VSX.
“Em vez de exigir que todas as listagens maliciosas incorporem o carregador diretamente, o agente da ameaça agora está abusando de extensionPack e extensionDependencies para transformar extensões inicialmente autônomas em veículos de entrega transitivos em atualizações posteriores, permitindo que um pacote de aparência benigna comece a extrair uma extensão separada vinculada ao GlassWorm somente depois que a confiança já tiver sido estabelecida”, Socket disse em um relatório publicado sexta-feira.
A empresa de segurança da cadeia de suprimentos de software disse que descobriu pelo menos 72 extensões Open VSX maliciosas adicionais desde 31 de janeiro de 2026, visando desenvolvedores. Essas extensões imitam utilitários de desenvolvedor amplamente usados, incluindo linters e formatadores, executores de código e ferramentas para assistentes de codificação baseados em inteligência artificial (IA), como Clade Code e Google Antigravity.
Os nomes de algumas das extensões estão listados abaixo. Desde então, o Open VSX tomou medidas para removê-los do registro –
- angular-studio.ng-extensões-angulares
- crotoapp.vscode-xml-extensão
- gvotcha.claude-code-extensão
- mswincx.antigravity-cockpit
- tamokill12.foundry-pdf-extensão
- turbobase.sql-turbo-ferramenta
- vce-brendan-studio-eich.js-debuger-vscode
Embora a atividade tenha sido sinalizada pela primeira vez pela Koi Security em outubro de 2025, pacotes npm usando as mesmas táticas – particularmente o uso de caracteres Unicode invisíveis para ocultar código malicioso – foram identificado já em março de 2025.
A iteração mais recente mantém muitas das características associadas ao GlassWorm: executar verificações para evitar a infecção de sistemas com localidade russa e usar transações Solana como um resolvedor morto para buscar o servidor de comando e controle (C2) para melhorar a resiliência.
Mas o novo conjunto de extensões também apresenta ofuscação mais pesada e rotaciona carteiras Solana para evitar a detecção, além de abusar dos relacionamentos de extensão para implantar cargas maliciosas, semelhante a como os pacotes npm dependem de dependências não autorizadas para passar despercebidos. Independentemente de uma extensão ser declarada como “extensionPack” ou “extensionDependencies” no arquivo “package.json” da extensão, o editor prossegue com a instalação de todas as outras extensões listadas nele.
Ao fazer isso, a campanha GlassWorm usa uma extensão como instalador de outra extensão maliciosa. Isso também abre novos cenários de ataque à cadeia de suprimentos, pois um invasor primeiro carrega uma extensão VS Code completamente inofensiva no mercado para ignorar a revisão, após o que é atualizado para listar um pacote vinculado ao GlassWorm como uma dependência.
“Como resultado, uma extensão que parecia não transitiva e comparativamente benigna na publicação inicial pode mais tarde se tornar um veículo transitivo de entrega do GlassWorm sem qualquer alteração em seu propósito aparente”, disse Socket.
Em um comunicado simultâneo, o Aikido atribuiu o ator da ameaça GlassWorm a uma campanha em massa que está se espalhando por repositórios de código aberto, com os invasores injetando vários repositórios com caracteres Unicode invisíveis para codificar uma carga útil. Embora o conteúdo não seja visível quando carregado em editores de código e terminais, ele é decodificado para um carregador responsável por buscar e executar um script de segundo estágio para roubar tokens, credenciais e segredos.
Estima-se que nada menos que 151 repositórios GitHub foram afetados como parte da campanha entre 3 e 9 de março de 2026. Além disso, a mesma técnica Unicode foi implantada em dois pacotes npm diferentes, indicando um push coordenado e multiplataforma –
- @aifabrix/miso-client
- @iflow-mcp/watercrawl-watercrawl-mcp
“As injeções maliciosas não chegam em commits obviamente suspeitos”, pesquisador de segurança Ilyas Makari disse. “As mudanças ao redor são realistas: ajustes de documentação, alterações de versão, pequenos refatoradores e correções de bugs que são estilisticamente consistentes com cada projeto alvo. Este nível de adaptação específica do projeto sugere fortemente que os invasores estão usando grandes modelos de linguagem para gerar commits de cobertura convincentes.”
PhantomRaven ou experimento de pesquisa?
O desenvolvimento vem como Endor Labs disse descobriu 88 novos pacotes npm maliciosos carregados em três ondas entre novembro de 2025 e fevereiro de 2026 por meio de 50 contas descartáveis. Os pacotes vêm com funcionalidade para roubar informações confidenciais da máquina comprometida, incluindo variáveis de ambiente, tokens CI/CD e metadados do sistema.
A atividade se destaca pelo uso de Dependências Dinâmicas Remotas (RDD), onde o arquivo de metadados “package.json” especifica uma dependência em uma URL HTTP customizada, permitindo assim que os operadores modifiquem o código malicioso em tempo real, bem como contornem a inspeção.
Embora os pacotes tenham sido inicialmente identificados como parte do PhantomRaven campanhaa empresa de segurança de aplicativos observou em uma atualização que eles foram produzidos por um pesquisador de segurança como parte de um experimento legítimo – uma afirmação que ela contestou, citando três sinais de alerta. Isto inclui o facto de as bibliotecas recolherem muito mais informação do que o necessário, não fornecerem transparência ao utilizador e serem publicadas através de nomes de contas e endereços de e-mail deliberadamente alternados.
A partir de 12 de março de 2026, o proprietário dos pacotes fez alterações adicionais, trocando a carga útil de coleta de dados entregue por meio de alguns dos pacotes npm publicados durante o período de três meses por um simples “Olá, mundo!” Mensagem.
“Embora a remoção do código que coletou informações extensas seja certamente bem-vinda, ela também destaca os riscos associados às dependências de URL”, disse Endor Labs. “Quando os pacotes dependem de código hospedado fora do registro npm, os autores mantêm controle total sobre a carga útil sem publicar uma nova versão do pacote. Ao modificar um único arquivo no servidor – ou simplesmente desligá-lo – eles podem alterar ou desabilitar silenciosamente o comportamento de cada pacote dependente de uma só vez.”
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!