Relatório do Cyber Security News descreve uma nova onda do worm autopropagante GlassWorm que, segundo os pesquisadores citados, passou a focalizar sistemas macOS através de extensões maliciosas para VS Code publicadas no marketplace Open VSX.
Descoberta e escopo
Pesquisadores da Koi identificaram a campanha por análise comportamental depois que o mecanismo de risco detectou padrões anômalos em extensões instaladas via Open VSX. O artigo informa que as extensões maliciosas já acumularam mais de 50.000 downloads. Três pacotes foram destacados como suspeitos: pro‑svelte‑extension, vsce‑prettier‑pro e full‑access‑catppuccin‑pro‑extension, todos ligados por infraestrutura e chaves criptográficas compartilhadas.
Vetor e técnicas de evasão
O GlassWorm utiliza extensões legítimas como vetor de ingresso. A quarta onda descrita introduz um payload JavaScript cifrado (AES‑256‑CBC) e um mecanismo de atraso: o código aguarda exatamente 900.000 milissegundos (15 minutos) antes de decifrar e executar o payload — um artifício para burlar sandboxes que tipicamente expiram em cerca de 5 minutos.
Comando e controle descentralizado
Um dos pontos mais relevantes do relatório é a utilização da blockchain Solana como canal de comando e controle. Os operadores publicam memos de transação contendo URLs codificados em base64; a extensão consulta essas transações para obter endpoints atualizados, tornando bloqueios baseados em domínio menos efetivos. Pesquisadores relacionaram a infraestrutura usada nesta fase ao endereço IP 45.32.151.157, já observado em ondas anteriores.
Payloads e objetivos
- Persistência: o payload macOS emprega AppleScript e LaunchAgents para manter execução no sistema.
- Credenciais: o código procura acesso ao Keychain do macOS, usando comandos como security find‑generic‑password para extrair segredos.
- Trojanização de wallets: há infraestrutura no código para substituir aplicações de hardware wallet (Ledger Live e Trezor Suite), embora essa funcionalidade não tenha sido totalmente ativa durante testes em 29/12/2025.
- Exfiltração: dados roubados são compactados em /tmp/ijewf/ e enviados ao servidor de exfiltração 45.32.150.251/p2p, segundo o relatório.
Evidências e limitações
O relatório apresenta evidências de compartilhamento de chaves e IVs entre as três extensões, implicando um ator único. Também são citados IPs de infraestrutura e o método na Solana. Contudo, faltam informações públicas sobre vetores de instalação iniciais além da publicação no Open VSX, listas de hashes verificáveis das extensões afetadas e sinais de comprometimento padronizados que equipes de resposta possam consumir imediatamente.
Implicações para defesa
Com base no relato, recomendações práticas incluem:
- Auditar e reduzir o uso de extensões de terceiros em ambientes gerenciados; aplicar políticas de whitelist/blacklist no provisionamento de IDEs.
- Monitorar atividade de rede proveniente de hosts de desenvolvimento e CI/CD, especialmente chamadas a domínios/ipsed citados quando possível.
- Bloquear instalação automática de extensões de mercados não oficiais e exigir revisão corporativa para pacotes utilizados por times críticos.
- Verificar presença de LaunchAgents incomuns, consultas ao Keychain e artefatos em /tmp/ijewf/ como indicadores iniciais.
Conclusão
O caso documentado pelo Cyber Security News demonstra evolução tática de um worm que agora explora distribuições de código e marketplaces de extensões aliados a um C2 descentralizado via blockchain. A falta de IOCs e de um boletim oficial citado no próprio texto exige que equipes busquem confirmação em fontes de inteligência e no fornecedor do marketplace para ações imediatas. O relato, porém, oferece sinais operacionais claros que podem orientar caça a ameaças e bloqueios preventivos.