📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova onda da campanha Glassworm tem como alvo o ecossistema OpenVSX com 73 extensões “adormecidas” que se tornam maliciosas após uma atualização.
Seis das extensões foram ativadas e entregam malware, enquanto os pesquisadores avaliam com grande confiança que o restante delas está inativa ou pelo menos suspeita.
Quando carregadas inicialmente, as extensões são benignas, mas entregam a carga posteriormente, revelando a verdadeira intenção do invasor.
“Esta contagem pode mudar à medida que novas atualizações continuam a aparecer, mas o padrão é consistente com as ondas anteriores do GlassWorm”, afirmam pesquisadores da empresa de segurança de aplicativos Socket.
GlassWorm é uma campanha contínua de ataque à cadeia de suprimentos observada pela primeira vez em outubro, inicialmente usando caracteres Unicode invisíveis para ocultar códigos maliciosos que roubam carteiras de criptomoedas e credenciais de desenvolvedores.
Desde então, ele se expandiu por vários ecossistemas, incluindo repositórios GitHub, pacotes npm e Visual Studio Code Marketplace e OpenVSX. Também foi observado que eles têm como alvo usuários do macOS com clientes de carteira criptografada trojanizados.
Uma onda recente em meados de março de 2026 mostrou uma escala significativa, afetando centenas de repositórios e dezenas de extensões.
No entanto, operações desta escala podem ser ruidosas e deixar múltiplos rastros, já que múltiplas equipes de pesquisa distintas detectaram a atividade precocemente e ajudaram a bloqueá-la.
A onda mais recente sugere que a intenção do invasor é mudar sua estratégia, enviando extensões inócuas para um único ecossistema e introduzindo a carga maliciosa em uma atualização subsequente, em vez de incorporá-la nas extensões.
A Socket descobriu que as 73 extensões envolvidas na campanha mais recente do GlassWorm são clones de listagens legítimas, projetadas para enganar os desenvolvedores que não prestam muita atenção além dos recursos visuais.
Em um caso, o invasor usou o mesmo ícone da extensão legítima, adotando nome e descrição semelhantes. Embora existam diferenças sutis, os principais indicadores são o nome do editor e o identificador exclusivo.
Em vez de transportar o malware, as extensões agora atuam como carregadores finos que o buscam por meio de um dos seguintes métodos:
A extensão recupera um pacote VSIX secundário do GitHub em tempo de execução e o instala usando comandos CLI.
As extensões carregam módulos compilados específicos da plataforma (arquivos .node) que contêm a lógica principal, incluindo a busca de cargas adicionais e a execução de rotinas de instalação em editores suportados.
Algumas variantes dependem inteiramente de JavaScript altamente ofuscado que é decodificado em tempo de execução para buscar e instalar extensões maliciosas, às vezes incluindo URLs criptografados ou substitutos para recuperação de carga útil.
Socket não forneceu detalhes técnicos sobre a carga útil mais recente. Anteriormente, esses ataques tinham como objetivo roubar dados de carteiras de criptomoedas, credenciais, tokens de acesso, chaves SSH e dados do ambiente do desenvolvedor.
A empresa de segurança cibernética publicou a lista completa das 73 extensões que se acredita fazerem parte da última onda do GlassWorm. Recomenda-se aos desenvolvedores que instalaram qualquer um deles que girem todos os segredos e limpem seu ambiente.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Seis das extensões foram ativadas e entregam malware, enquanto os pesquisadores avaliam com grande confiança que o restante delas está inativa ou pelo menos suspeita.
Quando carregadas inicialmente, as extensões são benignas, mas entregam a carga posteriormente, revelando a verdadeira intenção do invasor.
“Esta contagem pode mudar à medida que novas atualizações continuam a aparecer, mas o padrão é consistente com as ondas anteriores do GlassWorm”, afirmam pesquisadores da empresa de segurança de aplicativos Socket.
GlassWorm é uma campanha contínua de ataque à cadeia de suprimentos observada pela primeira vez em outubro, inicialmente usando caracteres Unicode invisíveis para ocultar códigos maliciosos que roubam carteiras de criptomoedas e credenciais de desenvolvedores.
Desde então, ele se expandiu por vários ecossistemas, incluindo repositórios GitHub, pacotes npm e Visual Studio Code Marketplace e OpenVSX. Também foi observado que eles têm como alvo usuários do macOS com clientes de carteira criptografada trojanizados.
Uma onda recente em meados de março de 2026 mostrou uma escala significativa, afetando centenas de repositórios e dezenas de extensões.
No entanto, operações desta escala podem ser ruidosas e deixar múltiplos rastros, já que múltiplas equipes de pesquisa distintas detectaram a atividade precocemente e ajudaram a bloqueá-la.
A onda mais recente sugere que a intenção do invasor é mudar sua estratégia, enviando extensões inócuas para um único ecossistema e introduzindo a carga maliciosa em uma atualização subsequente, em vez de incorporá-la nas extensões.
A Socket descobriu que as 73 extensões envolvidas na campanha mais recente do GlassWorm são clones de listagens legítimas, projetadas para enganar os desenvolvedores que não prestam muita atenção além dos recursos visuais.
Em um caso, o invasor usou o mesmo ícone da extensão legítima, adotando nome e descrição semelhantes. Embora existam diferenças sutis, os principais indicadores são o nome do editor e o identificador exclusivo.
Em vez de transportar o malware, as extensões agora atuam como carregadores finos que o buscam por meio de um dos seguintes métodos:
A extensão recupera um pacote VSIX secundário do GitHub em tempo de execução e o instala usando comandos CLI.
As extensões carregam módulos compilados específicos da plataforma (arquivos .node) que contêm a lógica principal, incluindo a busca de cargas adicionais e a execução de rotinas de instalação em editores suportados.
Algumas variantes dependem inteiramente de JavaScript altamente ofuscado que é decodificado em tempo de execução para buscar e instalar extensões maliciosas, às vezes incluindo URLs criptografados ou substitutos para recuperação de carga útil.
Socket não forneceu detalhes técnicos sobre a carga útil mais recente. Anteriormente, esses ataques tinham como objetivo roubar dados de carteiras de criptomoedas, credenciais, tokens de acesso, chaves SSH e dados do ambiente do desenvolvedor.
A empresa de segurança cibernética publicou a lista completa das 73 extensões que se acredita fazerem parte da última onda do GlassWorm. Recomenda-se aos desenvolvedores que instalaram qualquer um deles que girem todos os segredos e limpem seu ambiente.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #os #ataques #de #malware #glassworm #retornam #por #meio #de #73 #extensões #“adormecidas” #do #openvsx
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário