Campanha de malware ataca desenvolvedores via marketplace de extensões
Uma extensão maliciosa publicada no marketplace OpenVSX está espalhando silenciosamente uma cepa conhecida de malware chamada GlassWorm para todos os editores de código instalados na máquina de um desenvolvedor. O pacote malicioso disfarça-se como uma ferramenta legítima de produtividade e utiliza um binário nativo compilado para infectar VS Code, Cursor, Windsurf e outros editores simultaneamente.
A campanha GlassWorm, inicialmente identificada em março de 2025, evoluiu significativamente. A nova técnica, identificada por analistas de segurança da Aikido em abril de 2026, esconde o ataque dentro de uma extensão OpenVSX chamada code-wakatime-activity-tracker, publicada sob a conta specstudio. A extensão superficialmente se assemelha à ferramenta real WakaTime, mantendo as mesmas opções de comando e ícones de status familiar.
Como a infecção multi-IDE funciona
A infecção inicia-se no momento em que um desenvolvedor instala code-wakatime-activity-tracker. A função activate() da extensão, destinada a iniciar a ferramenta WakaTime, foi alterada pelo atacante. Antes que qualquer código legítimo seja executado, a função carrega win.node ou mac.node do diretório ./bin/ e chama install().
O binário nativo então contorna uma página de releases do GitHub controlada pelo atacante para baixar um arquivo .vsix malicioso chamado autoimport-2.7.9. Este pacote é projetado para parecer com steoates.autoimport, uma extensão popular usada por milhões de desenvolvedores. Após a instalação, o arquivo é deletado para remover rastros.
O segundo estágio é o mesmo dropper GlassWorm analisado anteriormente. Ele evita execução em máquinas com configurações de sistema em russo, apontando para uma escolha deliberada dos autores. Uma vez ativo, o malware faz beacon para um servidor de comando e controle que opera através da blockchain Solana, dificultando o bloqueio ou monitoramento pelas equipes de segurança.
Análise técnica detalhada
O que diferencia este ataque das versões anteriores do GlassWorm é o uso de binários nativos compilados em Zig. No Windows, a extensão entrega um arquivo win.node (PE32+ DLL), enquanto no macOS inclui mac.node (binário Mach-O universal). Esses arquivos carregam diretamente no runtime do Node.js, operando com acesso total ao sistema operacional, fora do alcance das proteções de sandbox padrão.
O ataque não para em um único editor. Uma vez que o binário é executado, ele varre a máquina em busca de todos os IDEs que suportam o formato de extensão do VS Code — incluindo VS Code Insiders, Cursor, Windsurf, VSCodium e Positron — e instala silenciosamente uma extensão maliciosa em cada um. Um desenvolvedor executando Cursor com VS Code instalado encontraria ambos os ambientes comprometidos sem aviso visível.
Medidas de mitigação recomendadas
Desenvolvedores e equipes de segurança devem verificar imediatamente as listas de extensão de seus IDEs em busca de specstudio/code-wakatime-activity-tracker e floktokbok.autoimport. Se qualquer um desses aparecer em qualquer editor instalado, a máquina deve ser tratada como totalmente comprometida.
- Rotação de credenciais: Todas as credenciais, chaves de API e segredos armazenados acessíveis a partir desse ambiente devem ser rotacionados imediatamente.
- Auditoria de repositórios: Qualquer repositório de código conectado à máquina afetada deve ser revisado em busca de sinais de adulteração, pois o atacante teve acesso total ao sistema durante a janela de infecção.
- Monitoramento de rede: Bloquear conexões de saída para domínios suspeitos e monitorar tráfego para a blockchain Solana.
O que os CISOs devem fazer agora
Este incidente destaca a necessidade de governança rigorosa sobre extensões de terceiros em ambientes de desenvolvimento. A segurança de cadeia de suprimentos de software deve incluir a verificação de reputação de publicadores em marketplaces de extensões e a implementação de políticas de instalação que exijam aprovação explícita para novas extensões. A adoção de ferramentas de análise de dependências e monitoramento de comportamento de IDEs é essencial para detectar infecções silenciosas.
Perguntas frequentes
Qual é o risco principal? Roubo de credenciais, acesso remoto persistente e exfiltração de código fonte.
Como detectar? Verificar extensões instaladas e monitorar processos Node.js incomuns ou conexões de rede para a blockchain Solana.
É necessário formatar? Sim, se a extensão maliciosa for detectada, a máquina deve ser considerada comprometida e reconfigurada.