Contexto e descoberta
No dia 30 de janeiro de 2026, quatro extensões consolidadas publicadas pelo autor identificado como oorzc tiveram versões maliciosas inseridas no registro Open VSX. As versões comprometidas continham código que entrega o GlassWorm aos usuários que atualizavam ou instalavam as extensões afetadas.
Vetor e dinâmica do ataque
A técnica descrita envolve comprometimento das credenciais/recursos do desenvolvedor autor das extensões, permitindo que o adversário publique updates maliciosos diretamente no repositório de extensões. Usuários downstream que recebem atualizações legítimas passaram a receber código malicioso, caracterizando um ataque de supply chain sobre o ecossistema de extensões.
Impacto e limites da informação
A publicação detalha quais extensões foram afetadas e o comportamento do GlassWorm embutido, mas não fornece números absolutos de instalações afetadas ou indicadores técnicos completos no corpo da matéria. Também não há menção a exploração posterior nem a identificação dos atores responsáveis.
Recomendações
- Desenvolvedores e usuários devem verificar a integridade das extensões instaladas no Open VSX e rever versões publicadas pelo autor oorzc desde 30/01/2026.
- Organizações que implantam extensões de terceiros devem adotar validação adicional de pacotes, assinaturas e limitar privilégios de extensões quando possível.
Fonte
Resumo baseado em reportagem do The Hacker News sobre a publicação de versões maliciosas no registro Open VSX que embutiam GlassWorm.