Hack Alerta

Glassworm: 24 extensões maliciosas atingem Visual Studio Marketplace e OpenVSX

Por Redação Hack Alerta Publicado em 02/12/2025 10:03 Riscos e Ameaças Tempo de leitura: 3 min

A campanha Glassworm publicou 24 extensões maliciosas no Visual Studio Marketplace e no OpenVSX, clonando pacotes legítimos de frameworks como Flutter, Tailwind e Vue. Pesquisadores do Secure Annex apontam uso de implantes em Rust, manipulação de downloads e atualizações maliciosas que executam código no contexto do desenvolvedor.

Pesquisadores identificaram uma nova onda da campanha Glassworm que publicou 24 extensões maliciosas no Microsoft Visual Studio Marketplace e no OpenVSX ao longo da última semana, usando clones de extensões legítimas para ganhar confiança dos desenvolvedores.

Descoberta e escopo

Analistas do Secure Annex mapearam 24 pacotes fraudulentos distribuídos entre os dois marketplaces. As extensões imitavam ferramentas populares para frameworks e linguagens como Flutter, Tailwind, Vim, YAML, Svelte, React Native e Vue. Exemplos citados nas descobertas incluem pacotes com nomes semelhantes a prisma‑inc.prisma‑studio‑assistance, prettier‑vsc.vsce‑prettier e um flutter‑extension que apareceu em ambas as plataformas.

Vetor e técnica de persistência

O modus operandi descrito pelos pesquisadores consiste em publicar pacotes aparentemente legítimos que passam pelas revisões iniciais das lojas. Após a publicação, os atacantes entregam atualizações que beneficiam-se de código malicioso oculto — incluindo implantes escritos em Rust nesta iteração da campanha — e técnicas de ofuscação que dificultam detecção por ferramentas tradicionais.

Engenharia social e manipulação de credibilidade

Os operadores do Glassworm empregam dois vetores sociais: manipulação de métricas (inflar contadores de download/instalação) e posicionamento das cópias junto às extensões originais dentro da interface do IDE, o que aumenta a probabilidade de instalação pelos desenvolvedores distraídos. Secure Annex relata também que muitos pacotes encenam uma fase de “estágio” em que acumulam credibilidade antes de ativar cargas maliciosas.

Risco técnico

  • Execução no contexto do desenvolvedor: quando carregadas, as extensões executam código no ambiente de desenvolvimento, potencialmente expondo environment variables, tokens de autenticação e código‑fonte.
  • Evasão: uso de ofuscação avançada e implantes em Rust para evitar análise.
  • Alvo: desenvolvedores e pipelines que consomem extensões de IDE; risco de comprometimento da cadeia de desenvolvimento e backdoors em projetos.

Mitigações recomendadas

  • Auditar extensões instaladas em ambientes de desenvolvimento e CI.
  • Implementar scanning de marketplaces e soluções que analisem atualizações de pacotes/ extensões antes do deploy em estações de desenvolvimento e runners de CI.
  • Restringir uso de contas com tokens sensíveis em ambientes locais; segregar chaves e usar variáveis de ambiente apenas em runtime controlado.

Limites das informações

As publicações sobre a campanha listam exemplos e táticas, mas não quantificam vítimas ou indicam IOCs de rede completos em todas as amostras. Secure Annex é a fonte principal citada; as informações alinham técnica e escopo, mas não trazem uma contagem consolidada de projetos afetados.

Contexto

Esta ofensiva é outro exemplo de supply‑chain targeting dentro do ecossistema de desenvolvimento. Organizações que dependem de extensões e pacotes públicos devem adotar políticas de verificação e isolamento para reduzir o risco de comprometimento do ciclo de vida do software.

Fonte: Cyber Security News (Secure Annex).
Baseado em publicação original de Cyber Security News
Tags: #supply-chain #extensions #openvsx #visual-studio #malware #rust #developers #ide #secure-annex
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar