Nem mesmo o ambiente de desenvolvimento está imune a ataques sofisticados. Uma nova campanha de malware mostra que invasores estão explorando diretamente a cadeia de confiança de ferramentas usadas diariamente por desenvolvedores. Desta vez, contas legítimas de mantenedores no OpenVSX foram sequestradas para distribuir o GlassWorm, um código malicioso direcionado exclusivamente a sistemas macOS.
O ataque é particularmente preocupante porque utiliza extensões confiáveis, mantidas por anos sem qualquer histórico suspeito. Ao serem atualizadas, essas extensões passaram a executar código malicioso em segundo plano, permitindo o roubo de credenciais, dados sensíveis e informações financeiras, incluindo acesso a carteiras de criptomoedas.
O OpenVSX é um repositório aberto de extensões amplamente utilizado por editores compatíveis com o ecossistema do Visual Studio Code, especialmente em ambientes open source. Justamente por essa ampla adoção e pelo alto nível de confiança da comunidade, a plataforma se torna um alvo estratégico para campanhas que buscam atingir desenvolvedores de forma silenciosa e eficiente.
O que é o GlassWorm e como o ataque funciona
O GlassWorm é um malware voltado para espionagem e roubo de dados, projetado especificamente para o ecossistema macOS. Diferente de ameaças genéricas, ele se infiltra no sistema explorando práticas comuns do fluxo de desenvolvimento, como a instalação e atualização automática de extensões.
Segundo a análise conduzida por pesquisadores da Socket, o ataque teve início com o comprometimento da conta do desenvolvedor conhecido como oorzc no OpenVSX. Essa conta era responsável por extensões legítimas e amplamente utilizadas, o que reduziu drasticamente qualquer suspeita por parte dos usuários.
Após obter acesso à conta, os atacantes inseriram código malicioso diretamente nas versões mais recentes das extensões. Assim que a atualização era instalada, o código iniciava a execução de scripts que faziam o download e a ativação do GlassWorm no sistema da vítima. Todo o processo ocorria sem alertas visíveis, explorando a confiança no ecossistema open source.
Esse tipo de ataque demonstra uma evolução clara nas ameaças voltadas a desenvolvedores, ao explorar não falhas técnicas diretas, mas sim a confiança em ferramentas e mantenedores conhecidos.
Imagem: Socket
Extensões afetadas e versões
Até o momento, quatro extensões hospedadas no OpenVSX foram identificadas como vetores de distribuição do GlassWorm. Todas estavam associadas à conta comprometida do desenvolvedor e receberam atualizações maliciosas. As extensões afetadas são:
ssh-tools, usada para facilitar conexões SSH durante o desenvolvimento.
i18n-tools-plus, voltada para internacionalização e gerenciamento de traduções.
mind-map, utilizada para organização visual e criação de mapas mentais.
scss-para-compilar-css, empregada no processo de compilação de estilos CSS.
Essas extensões são funcionais, populares e não despertam suspeitas imediatas, o que amplia significativamente o alcance do ataque, especialmente entre desenvolvedores que utilizam macOS como plataforma principal.
O alvo é o macOS: Como o malware age no sistema
Após a execução inicial, o GlassWorm demonstra conhecimento profundo do funcionamento interno do macOS. Para garantir persistência, o malware cria entradas de LaunchAgents, um mecanismo legítimo do sistema usado para executar processos automaticamente na inicialização.
Com a persistência estabelecida, o malware passa a coletar dados sensíveis. Um dos principais alvos é o Keychain, onde ficam armazenadas senhas, certificados digitais e tokens de autenticação. O acesso a esse recurso permite que os atacantes obtenham credenciais de serviços, repositórios privados e plataformas de nuvem.
Além disso, o GlassWorm tenta extrair informações do Safari, incluindo cookies, sessões ativas e dados salvos de login. O malware também verifica o conteúdo do Apple Notes, aplicativo frequentemente usado para anotações rápidas que podem conter informações sensíveis, como chaves temporárias e lembretes técnicos.
Outro foco relevante são dados relacionados a carteiras de criptomoedas. O código malicioso busca arquivos e configurações associadas a wallets, aumentando o potencial de prejuízo financeiro para as vítimas. Esse comportamento indica que o ataque não é apenas exploratório, mas claramente orientado a ganhos econômicos.
Um detalhe técnico que chamou a atenção dos pesquisadores é a exclusão deliberada de sistemas configurados com idioma russo. Quando detecta esse idioma, o malware interrompe sua execução, um padrão observado em outras campanhas avançadas e frequentemente associado a grupos específicos.
Como se proteger e o que fazer se você foi infectado
Diante desse cenário, a ação rápida é essencial. Desenvolvedores e usuários de macOS devem revisar imediatamente todas as extensões instaladas, especialmente aquelas obtidas via OpenVSX. Caso alguma das extensões afetadas esteja presente, a recomendação é removê-la imediatamente e evitar reinstalações até que versões seguras sejam confirmadas.
Em seguida, é importante verificar manualmente a existência de LaunchAgents desconhecidos no sistema. Entradas suspeitas devem ser analisadas e removidas com cuidado, preferencialmente com apoio de ferramentas de segurança ou profissionais especializados.
Como o GlassWorm pode ter acessado o Keychain, é fundamental realizar a rotação completa de credenciais. Isso inclui senhas de serviços, tokens de API, chaves SSH e qualquer outro segredo utilizado em ambientes de desenvolvimento ou produção. Repositórios privados e serviços de nuvem também devem ter seus acessos revisados.
Para ambientes corporativos, o envolvimento imediato da equipe de segurança da informação é indispensável. A análise de logs, a revogação de chaves comprometidas e a verificação de possíveis movimentos laterais ajudam a reduzir o impacto do incidente.
Este caso reforça um alerta importante para toda a comunidade técnica. Extensões e ferramentas open source fazem parte da superfície de ataque e devem ser tratadas com o mesmo cuidado que dependências de código. Compartilhar este alerta com colegas desenvolvedores e equipes técnicas é uma medida simples, mas eficaz, para reduzir a disseminação do GlassWorm e fortalecer a segurança coletiva no ecossistema macOS.
