🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma nova iteração da campanha GlassWorm que, segundo eles, representa uma “escalada significativa” na forma como ela se propaga através do registro Open VSX.
“Em vez de exigir que todas as listagens maliciosas incorporem o carregador diretamente, o agente da ameaça agora está abusando de extensionPack e extensionDependencies para transformar extensões inicialmente autônomas em veículos de entrega transitivos em atualizações posteriores, permitindo que um pacote de aparência benigna comece a extrair uma extensão separada vinculada ao GlassWorm somente depois que a confiança já tiver sido estabelecida”, disse Socket em um relatório publicado na sexta-feira.
A empresa de segurança da cadeia de suprimentos de software disse que descobriu pelo menos 72 extensões Open VSX maliciosas adicionais desde 31 de janeiro de 2026, visando desenvolvedores. Essas extensões imitam utilitários de desenvolvedor amplamente usados, incluindo linters e formatadores, executores de código e ferramentas para assistentes de codificação baseados em inteligência artificial (IA), como Clade Code e Google Antigravity.
Os nomes de algumas das extensões estão listados abaixo. Desde então, o Open VSX tomou medidas para removê-los do registro -
angular-studio.ng-angular-extensão
crotoapp.vscode-xml-extensão
gvotcha.claude-code-extensão
mswincx.antigravity-cockpit
tamokill12.foundry-pdf-extensão
turbobase.sql-turbo-ferramenta
vce-brendan-studio-eich.js-debuger-vscode
GlassWorm é o nome dado a uma campanha contínua de malware que se infiltrou repetidamente no Microsoft Visual Studio Marketplace e no Open VSX com extensões maliciosas projetadas para roubar segredos e drenar carteiras de criptomoedas, além de abusar de sistemas infectados como proxies para outras atividades criminosas.
Embora a atividade tenha sido sinalizada pela primeira vez pela Koi Security em outubro de 2025, pacotes npm que usam as mesmas táticas – particularmente o uso de caracteres Unicode invisíveis para ocultar código malicioso – foram identificados já em março de 2025.
A iteração mais recente mantém muitas das características associadas ao GlassWorm: executar verificações para evitar a infecção de sistemas com localidade russa e usar transações Solana como um resolvedor morto para buscar o servidor de comando e controle (C2) para melhorar a resiliência.
Mas o novo conjunto de extensões também apresenta ofuscação mais pesada e rotaciona carteiras Solana para evitar a detecção, além de abusar dos relacionamentos de extensão para implantar cargas maliciosas, semelhante a como os pacotes npm dependem de dependências não autorizadas para passar despercebidos. Independentemente de uma extensão ser declarada como "extensionPack" ou "extensionDependencies" no arquivo "package.json" da extensão, o editor prossegue com a instalação de todas as outras extensões listadas nele.
Ao fazer isso, a campanha GlassWorm usa uma extensão como instalador de outra extensão maliciosa. Isso também abre novos cenários de ataque à cadeia de suprimentos, pois um invasor primeiro carrega uma extensão VS Code completamente inofensiva no mercado para ignorar a revisão, após o que é atualizado para listar um pacote vinculado ao GlassWorm como uma dependência.
“Como resultado, uma extensão que parecia não transitiva e comparativamente benigna na publicação inicial pode mais tarde se tornar um veículo transitivo de entrega do GlassWorm sem qualquer alteração em seu propósito aparente”, disse Socket.
Em um comunicado simultâneo, o Aikido atribuiu o ator da ameaça GlassWorm a uma campanha em massa que está se espalhando por repositórios de código aberto, com os invasores injetando vários repositórios com caracteres Unicode invisíveis para codificar uma carga útil. Embora o conteúdo não seja visível quando carregado em editores de código e terminais, ele é decodificado para um carregador responsável por buscar e executar um script de segundo estágio para roubar tokens, credenciais e segredos.
Estima-se que nada menos que 151 repositórios GitHub foram afetados como parte da campanha entre 3 e 9 de março de 2026. Além disso, a mesma técnica Unicode foi implantada em dois pacotes npm diferentes, indicando um push coordenado e multiplataforma -
@aifabrix/miso-client
@iflow-mcp/watercrawl-watercrawl-mcp
“As injeções maliciosas não chegam em commits obviamente suspeitos”, disse o pesquisador de segurança Ilyas Makari. "As mudanças ao redor são realistas: ajustes de documentação, alterações de versão, pequenos refatoradores e correções de bugs que são estilisticamente consistentes com cada projeto alvo. Este nível de adaptação específica do projeto sugere fortemente que os invasores estão usando grandes modelos de linguagem para gerar commits de cobertura convincentes."
PhantomRaven ou experimento de pesquisa?
O desenvolvimento ocorre no momento em que o Endor Labs afirma ter descoberto 88 novos pacotes npm maliciosos carregados em três ondas entre novembro de 2025 e fevereiro de 2026 por meio de 50 contas descartáveis. Os pacotes vêm com funcionalidade para roubar informações confidenciais da máquina comprometida, incluindo variáveis de ambiente, tokens CI/CD e metadados do sistema.
A atividade se destaca pela utilização do Remote Dyna
“Em vez de exigir que todas as listagens maliciosas incorporem o carregador diretamente, o agente da ameaça agora está abusando de extensionPack e extensionDependencies para transformar extensões inicialmente autônomas em veículos de entrega transitivos em atualizações posteriores, permitindo que um pacote de aparência benigna comece a extrair uma extensão separada vinculada ao GlassWorm somente depois que a confiança já tiver sido estabelecida”, disse Socket em um relatório publicado na sexta-feira.
A empresa de segurança da cadeia de suprimentos de software disse que descobriu pelo menos 72 extensões Open VSX maliciosas adicionais desde 31 de janeiro de 2026, visando desenvolvedores. Essas extensões imitam utilitários de desenvolvedor amplamente usados, incluindo linters e formatadores, executores de código e ferramentas para assistentes de codificação baseados em inteligência artificial (IA), como Clade Code e Google Antigravity.
Os nomes de algumas das extensões estão listados abaixo. Desde então, o Open VSX tomou medidas para removê-los do registro -
angular-studio.ng-angular-extensão
crotoapp.vscode-xml-extensão
gvotcha.claude-code-extensão
mswincx.antigravity-cockpit
tamokill12.foundry-pdf-extensão
turbobase.sql-turbo-ferramenta
vce-brendan-studio-eich.js-debuger-vscode
GlassWorm é o nome dado a uma campanha contínua de malware que se infiltrou repetidamente no Microsoft Visual Studio Marketplace e no Open VSX com extensões maliciosas projetadas para roubar segredos e drenar carteiras de criptomoedas, além de abusar de sistemas infectados como proxies para outras atividades criminosas.
Embora a atividade tenha sido sinalizada pela primeira vez pela Koi Security em outubro de 2025, pacotes npm que usam as mesmas táticas – particularmente o uso de caracteres Unicode invisíveis para ocultar código malicioso – foram identificados já em março de 2025.
A iteração mais recente mantém muitas das características associadas ao GlassWorm: executar verificações para evitar a infecção de sistemas com localidade russa e usar transações Solana como um resolvedor morto para buscar o servidor de comando e controle (C2) para melhorar a resiliência.
Mas o novo conjunto de extensões também apresenta ofuscação mais pesada e rotaciona carteiras Solana para evitar a detecção, além de abusar dos relacionamentos de extensão para implantar cargas maliciosas, semelhante a como os pacotes npm dependem de dependências não autorizadas para passar despercebidos. Independentemente de uma extensão ser declarada como "extensionPack" ou "extensionDependencies" no arquivo "package.json" da extensão, o editor prossegue com a instalação de todas as outras extensões listadas nele.
Ao fazer isso, a campanha GlassWorm usa uma extensão como instalador de outra extensão maliciosa. Isso também abre novos cenários de ataque à cadeia de suprimentos, pois um invasor primeiro carrega uma extensão VS Code completamente inofensiva no mercado para ignorar a revisão, após o que é atualizado para listar um pacote vinculado ao GlassWorm como uma dependência.
“Como resultado, uma extensão que parecia não transitiva e comparativamente benigna na publicação inicial pode mais tarde se tornar um veículo transitivo de entrega do GlassWorm sem qualquer alteração em seu propósito aparente”, disse Socket.
Em um comunicado simultâneo, o Aikido atribuiu o ator da ameaça GlassWorm a uma campanha em massa que está se espalhando por repositórios de código aberto, com os invasores injetando vários repositórios com caracteres Unicode invisíveis para codificar uma carga útil. Embora o conteúdo não seja visível quando carregado em editores de código e terminais, ele é decodificado para um carregador responsável por buscar e executar um script de segundo estágio para roubar tokens, credenciais e segredos.
Estima-se que nada menos que 151 repositórios GitHub foram afetados como parte da campanha entre 3 e 9 de março de 2026. Além disso, a mesma técnica Unicode foi implantada em dois pacotes npm diferentes, indicando um push coordenado e multiplataforma -
@aifabrix/miso-client
@iflow-mcp/watercrawl-watercrawl-mcp
“As injeções maliciosas não chegam em commits obviamente suspeitos”, disse o pesquisador de segurança Ilyas Makari. "As mudanças ao redor são realistas: ajustes de documentação, alterações de versão, pequenos refatoradores e correções de bugs que são estilisticamente consistentes com cada projeto alvo. Este nível de adaptação específica do projeto sugere fortemente que os invasores estão usando grandes modelos de linguagem para gerar commits de cobertura convincentes."
PhantomRaven ou experimento de pesquisa?
O desenvolvimento ocorre no momento em que o Endor Labs afirma ter descoberto 88 novos pacotes npm maliciosos carregados em três ondas entre novembro de 2025 e fevereiro de 2026 por meio de 50 contas descartáveis. Os pacotes vêm com funcionalidade para roubar informações confidenciais da máquina comprometida, incluindo variáveis de ambiente, tokens CI/CD e metadados do sistema.
A atividade se destaca pela utilização do Remote Dyna
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #à #cadeia #de #suprimentos #glassworm #abusa #de #72 #extensões #vsx #abertas #para #desenvolvedoresalvo
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário