Malware GlassWorm planta 73 extensões adormecidas no OpenVSX para roubar carteiras cripto

Mensagem do Gate News, 28 de abril — Pesquisadores de segurança identificaram 73 extensões maliciosas plantadas pelo malware GlassWorm no registro do OpenVSX, com seis delas já ativadas para roubar as carteiras de criptomoedas e as credenciais dos desenvolvedores. As extensões foram enviadas como cópias falsas de listagens legítimas, com código malicioso injetado por meio de atualizações posteriores.

O GlassWorm surgiu pela primeira vez em outubro de 2025, usando caracteres Unicode invisíveis para ocultar código voltado aos dados da carteira cripto e às credenciais do desenvolvedor. A campanha desde então se espalhou por pacotes npm, repositórios do GitHub, o Visual Studio Code Marketplace e o OpenVSX. Em meados de março de 2026, uma grande onda afetou centenas de repositórios e dezenas de extensões, levando à intervenção de vários grupos de pesquisa em segurança. Os atacantes empregam uma estratégia de ativação atrasada, distribuindo inicialmente extensões limpas para construir uma base de instalação antes de implantar o malware por meio de atualizações. Pesquisadores de Socket identificaram três métodos de entrega: carregar um segundo pacote VSIX do GitHub via comandos de CLI, implantar módulos compilados específicos de plataforma como arquivos .node contendo a lógica maliciosa central e usar JavaScript fortemente ofuscado que decodifica em tempo de execução para baixar e instalar cargas maliciosas.

A ameaça vai além do OpenVSX. Em 22 de abril, o registro npm hospedou por alguns minutos uma versão maliciosa da CLI do Bitwarden sob o nome oficial do pacote por 93 minutos. O pacote comprometido roubou tokens do GitHub, tokens do npm, chaves SSH, credenciais da AWS e da Azure e segredos do GitHub Actions. A Bitwarden, que atende mais de 10 milhões de usuários em mais de 50.000 empresas, confirmou a conexão com uma campanha mais ampla rastreada por pesquisadores da Checkmarx. Ataques à cadeia de suprimentos exploram o atraso de tempo entre a publicação do pacote e a verificação do conteúdo; a Sonatype relatou aproximadamente 454.600 pacotes maliciosos infestando registros em 2025.

A Socket recomenda que os desenvolvedores que instalaram qualquer uma das 73 extensões do OpenVSX sinalizadas rotacionem todos os segredos e limpem seus ambientes de desenvolvimento. Observadores de segurança estão acompanhando se as outras 67 extensões adormecidas serão ativadas nos próximos dias e se o OpenVSX implementa controles de revisão mais rigorosos para atualizações de extensões.