A campanha maliciosa conhecida como GlassWorm voltou a atingir repositórios de extensões para o Visual Studio Code, em uma terceira onda de ataques que comprometeu pelo menos 24 novos pacotes distribuídos nas plataformas OpenVSX e VS Code Marketplace, da Microsoft.
O GlassWorm se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso dentro das extensões, dificultando a detecção por revisões manuais e ferramentas automatizadas. Uma vez instalado, o malware é capaz de roubar credenciais de desenvolvedores (como tokens de acesso a GitHub, npm e OpenVSX), além de instalar um servidor VNC oculto e configurar um proxy SOCKS, o que permite o controle remoto do dispositivo e uso da máquina como intermediária para outras ações maliciosas. A nova campanha demonstra a resiliência dos atacantes. Mesmo após remoções anteriores dos pacotes maliciosos e revogação de credenciais comprometidas, os operadores da ameaça conseguiram reintroduzir extensões contaminadas nos repositórios oficiais.
A estratégia de reaparecimento com pacotes modificados indica um esforço contínuo para manter acesso à cadeia de desenvolvimento. Segundo análises, os alvos da campanha incluem desenvolvedores e organizações em diferentes regiões do mundo, como Estados Unidos, Europa, Ásia e América do Sul. Isso reforça o caráter global da operação e o potencial de impacto em projetos abertos e ambientes corporativos. O malware também apresenta características de autorreplicação, buscando se espalhar automaticamente por meio de perfis comprometidos, o que amplia sua capacidade de disseminação entre desenvolvedores e repositórios conectados.
