A campanha GlassWorm passou a adotar dependências maliciosas como parte de uma nova estratégia para comprometer o ecossistema do Visual Studio Code, ampliando o risco para desenvolvedores que instalam extensões sem uma verificação mais profunda. A ofensiva reforça o avanço dos ataques à cadeia de suprimentos voltados a ambientes de desenvolvimento.
Em vez de distribuir apenas extensões claramente contaminadas, os operadores passaram a explorar mecanismos internos de dependência para transformar pacotes aparentemente legítimos em vetores indiretos de infecção. Com isso, um plugin inicialmente inofensivo pode ser usado para puxar componentes maliciosos em etapas posteriores.
Esse modelo torna a detecção mais difícil porque reduz sinais evidentes de comprometimento no momento da instalação. Em muitos casos, a extensão apresentada ao usuário mantém descrição, nome e proposta compatíveis com ferramentas comuns do fluxo de desenvolvimento, como utilitários de formatação, lint, automação e produtividade.
O impacto potencial é amplo. Uma vez executada dentro do ambiente de desenvolvimento, a carga maliciosa pode buscar credenciais, tokens de acesso, chaves privadas, arquivos de configuração e outros segredos armazenados na máquina da vítima. Em cenários corporativos, isso pode abrir caminho para invasões mais amplas em repositórios, pipelines e serviços conectados.
O caso chama atenção porque o ecossistema VS Code ocupa posição central na rotina de programadores, equipes DevOps e profissionais de segurança. Isso transforma extensões e dependências em alvos valiosos para grupos que buscam escala, persistência e acesso a ativos estratégicos por meio de um elo confiável da cadeia de software.
Além do roubo de dados, campanhas desse tipo também podem usar máquinas comprometidas para novas etapas de ataque, incluindo movimentação lateral, distribuição de payloads adicionais e abuso de infraestrutura para esconder operações futuras. O risco cresce quando atualizações de extensões ocorrem automaticamente ou sem revisão detalhada.
