Três extensões maliciosas do Visual Studio Code foram identificadas como parte da campanha GlassWorm, voltada ao roubo de credenciais e disseminação de malware em grande escala. As extensões foram distribuídas pelo Open VSX Registry e somavam milhares de downloads antes de serem removidas. As extensões afetadas: ai-driven-dev, history-in-sublime-merge e transient-emacs, estavam disponíveis para desenvolvedores e foram projetadas para roubar credenciais do GitHub, tokens da Open VSX, além de dados de 49 tipos de carteiras de criptomoedas.
O malware também tem a capacidade de baixar cargas adicionais, permitindo controle remoto das máquinas infectadas. Uma das táticas usadas para ocultar o código malicioso foi o uso de caracteres Unicode invisíveis, o que dificultava a detecção por análises manuais e ferramentas automatizadas. Além disso, o malware se aproveitava das credenciais roubadas para comprometer outras extensões e continuar se espalhando, em um mecanismo semelhante a um worm. Embora o Open VSX tenha removido as extensões e revogado tokens associados ainda em outubro, uma nova onda de ataques foi detectada em novembro com as mesmas técnicas de obfuscação. Segundo os pesquisadores, os criminosos atualizaram o comando de controle via blockchain da Solana, garantindo que os sistemas infectados localizem automaticamente novos servidores.
A investigação revelou também um endpoint exposto pelo atacante, contendo uma lista parcial de vítimas. As máquinas comprometidas incluem alvos nos Estados Unidos, América do Sul, Europa, Ásia e uma entidade governamental de alto perfil no Oriente Médio. Foram encontrados ainda dados de keylogger registrados na máquina do próprio operador da campanha, o que revelou que o responsável fala russo e utiliza uma infraestrutura baseada em uma extensão C2 de navegador chamada RedExt, disponível como código aberto.
