Se você usa o Visual Studio Code (VS Code), preste muita atenção: uma nova e sofisticada campanha de malware chamada GlassWorm foi descoberta, e pode estar roubando suas credenciais neste exato momento.
Pesquisadores da Koi Security identificaram que três extensões populares do VS Code, com milhares de downloads, estão distribuindo esse malware. O GlassWorm não é apenas mais um vírus: trata-se de um ataque avançado, que usa ofuscação com caracteres Unicode invisíveis e um servidor de comando e controle (C2) hospedado na blockchain Solana, o que o torna extremamente difícil de conter.
Neste artigo, você vai entender quais extensões foram comprometidas, como o ataque funciona e, principalmente, o que fazer agora para proteger seus dados e seu ambiente de desenvolvimento.
O que é o malware GlassWorm?
O GlassWorm é um malware no VS Code projetado para roubar credenciais de desenvolvedores e comprometer repositórios de código-fonte. Segundo o relatório publicado pela Koi Security, o principal objetivo dessa campanha é coletar dados de autenticação do Open VSX, GitHub e Git, além de drenar fundos de extensões de carteiras de criptomoedas compatíveis com o editor.
O malware também instala ferramentas de acesso remoto, permitindo que o invasor mantenha controle total do ambiente infectado. Por isso, o ataque não afeta apenas as extensões comprometidas — ele pode se propagar para outros componentes do sistema e até atingir infraestruturas DevOps inteiras.
Verifique seu VS Code: as extensões maliciosas listadas
Se você é desenvolvedor ou administrador de sistemas, verifique imediatamente se possui alguma das seguintes extensões instaladas no seu VS Code. Essas foram identificadas como maliciosas e estão distribuindo o malware GlassWorm:
- desenvolvimento orientado por IA.desenvolvimento orientado por IA (3.402 downloads)
- adhamu.history-in-sublime-merge (4.057 downloads)
- yasuyuky.transient-emacs (2.431 downloads)
Apesar da descoberta, essas extensões ainda estavam disponíveis para download no momento da publicação do alerta, tanto no Marketplace do VS Code quanto no Open VSX, o que amplia o risco para toda a comunidade de desenvolvedores.
Como o GlassWorm funciona: um ataque sofisticado em várias etapas
A análise dos especialistas mostra que o GlassWorm é um dos ataques mais tecnicamente avançados já observados contra ambientes de desenvolvimento. Ele combina técnicas de ofuscação, C2 resiliente e mecanismos de auto-replicação, que o tornam difícil de detectar e eliminar.
O truque do Unicode invisível
O GlassWorm usa caracteres Unicode invisíveis para ocultar código malicioso dentro das extensões. Essa técnica faz com que, visualmente, o código pareça legítimo — mas, na prática, carrega funções injetadas que baixam e executam cargas maliciosas.
Esses caracteres invisíveis enganam revisores humanos e também burlam sistemas automatizados de análise de código, já que os scanners tradicionais muitas vezes não conseguem interpretar corretamente esses caracteres não imprimíveis.
C2 resiliente na blockchain Solana
O GlassWorm não depende de um servidor centralizado de comando e controle (C2). Em vez disso, ele usa a blockchain Solana como uma infraestrutura distribuída e quase indestrutível.
Cada instância infectada consulta periodicamente a blockchain para obter novos endereços de controle publicados como transações de poucos centavos. Isso significa que o atacante pode mudar a localização do servidor de controle a qualquer momento, dificultando sua interrupção por empresas de segurança ou autoridades.
Essa técnica de C2 via blockchain é relativamente nova e extremamente sofisticada, demonstrando que os criadores do GlassWorm possuem alto nível técnico e conhecimento de criptossistemas.
Um “verme” que se auto-replica
O nome GlassWorm não é à toa. Ele funciona como um verme digital: após comprometer o ambiente da vítima, o malware utiliza as credenciais roubadas do Open VSX para enviar novas versões maliciosas de outras extensões, ampliando o alcance da infecção.
Essa capacidade de auto-replicação é o que torna o GlassWorm tão perigoso. Diferente de um trojan isolado, ele se espalha por conta própria, comprometendo cada vez mais desenvolvedores e projetos.
A ameaça evolui: GlassWorm agora mira repositórios do GitHub
Novas descobertas da Aikido Security indicam que o GlassWorm evoluiu e agora está mirando repositórios do GitHub. As credenciais roubadas não estão sendo usadas apenas para acesso indevido, mas também para inserir commits maliciosos diretamente em projetos legítimos.
Esses commits modificam o código-fonte original, adicionando rotinas para baixar e executar o malware em outros ambientes de desenvolvimento — criando uma cadeia de infecção invisível dentro do ecossistema open source.
Os pesquisadores também identificaram pistas sobre o possível ator da ameaça: indícios apontam para um grupo de língua russa que estaria utilizando um framework de ataque chamado RedExt, especializado em comprometer extensões de IDEs.
Conclusão: o que fazer para se proteger
A recomendação imediata é clara: revise as extensões instaladas no seu VS Code agora mesmo. Caso encontre alguma das listadas acima, remova-a imediatamente e execute uma varredura completa com uma ferramenta de segurança confiável.
Mesmo que você não tenha essas extensões, o incidente expõe uma vulnerabilidade séria: a fragilidade dos marketplaces de extensões. É essencial auditar regularmente o que você instala, verificar a reputação dos autores e conferir se o código-fonte está publicamente disponível e auditável.
Por fim, compartilhe este alerta com sua equipe e colegas desenvolvedores. Quanto mais rápido a comunidade agir, menor será o impacto dessa campanha.
Você já auditou suas extensões do VS Code hoje? Deixe sua opinião nos comentários — e ajude a fortalecer a segurança dos ambientes de desenvolvimento.
