O GlassWorm, um malware conhecido, inseriu 73 extensões maliciosas no registro do OpenVSX. Hackers o utilizam para roubar carteiras de criptomoedas e outros dados de desenvolvedores.
Pesquisadores de segurança descobriram que seis extensões já se transformaram em payloads ativos. As extensões foram carregadas como cópias falsas de listagens conhecidas e inofensivas. De acordo com um relatório da Socket, o código malicioso aparece em uma atualização posterior.
O malware GlassWorm ataca desenvolvedores de criptografia
Em outubro de 2025, o GlassWorm surgiu pela primeira vez. Ele usava caracteres Unicode invisíveis para ocultar um código destinado a roubar dados de carteiras de criptomoedas edentde desenvolvedores. Desde então, a campanha se espalhou para pacotes npm, repositórios do GitHub, o Marketplace do Visual Studio Code e o OpenVSX.
Uma onda atingiu centenas de repositórios e dezenas de extensões em meados de março de 2026, mas sua magnitude chamou a atenção das pessoas. Vários grupos de pesquisa perceberam a atividade precocemente e ajudaram a contê-la.
Os atacantes parecem ter mudado sua abordagem. O último lote não incorpora o malware imediatamente; em vez disso, usa um modelo de ativação retardada. Ele envia uma extensão limpa, cria uma base de instalação e, em seguida, envia uma atualização maliciosa.
“Extensões clonadas ou que se fazem passar por outras são publicadas inicialmente sem uma carga útil óbvia e, posteriormente, atualizadas para distribuir malware”, afirmaram.
Pesquisadores de segurança descobriram três maneiras de distribuir o código malicioso pelas 73 extensões. Uma delas é usar um segundo pacote VSIX do GitHub enquanto o programa está em execução e instalá-lo usando comandos da linha de comando. Outro método carrega módulos compilados específicos da plataforma, como arquivos [.]node, que contêm a lógica principal, incluindo rotinas para obter mais payloads.
Uma terceira forma utiliza JavaScript altamente ofuscado que é decodificado em tempo de execução para baixar e instalar extensões maliciosas. Ela também possui URLs criptografadas ou de fallback para obter o conteúdo malicioso.
As extensões se parecem muito com anúncios genuínos.
Em um dos casos, o atacante copiou o ícone da extensão legítima e deu a ela um nome e uma descrição quase idênticos. O nome do editor e odentexclusivo são o que as diferenciam, mas a maioria dos desenvolvedores não presta atenção a esses detalhes antes da instalação.
O GlassWorm foi desenvolvido para obter tokens de acesso, dados de carteiras de criptomoedas, chaves SSH e informações sobre o ambiente de desenvolvimento.
As carteiras de criptomoedas estão sob ataque constante de hackers
A ameaça vai além das carteiras de criptomoedas. Um incidente diferente, mas relacionado,dent como ataques à cadeia de suprimentos podem se espalhar pela infraestrutura dos desenvolvedores.
Em 22 de abril, o registro npm hospedou uma versão maliciosa da CLI do Bitwarden por 93 minutos sob o nome de pacote oficial @bitwarden/[email protected]. A JFrog, uma empresa de segurança, descobriu que o payload roubou tokens do GitHub, tokens npm, chaves SSH, credenciais da AWS e do Azuredentsegredos do GitHub Actions.
A análise da JFrog revelou que o pacote adulterado modificou o gancho de instalação e o ponto de entrada binário para carregar o ambiente de execução Bun e executar um payload ofuscado, tanto durante a instalação quanto durante a execução.
Segundo os registros da própria empresa, a Bitwarden possui mais de 50.000 empresas e 10 milhões de usuários. A Socket relacionou esse ataque a uma campanha maior tracpor pesquisadores da Checkmarx, e a Bitwarden confirmou a conexão.
O problema reside no funcionamento do npm e de outros registros. Os atacantes exploram o intervalo de tempo entre a publicação de um pacote e a verificação do seu conteúdo.
A Sonatype identificou cerca de 454.600 novos pacotes maliciosos infestando registros em 2025. Atores maliciosos que buscam obter acesso à custódia de criptomoedas, DeFie plataformas de lançamento de tokens começaram a visar registros e a liberar fluxos de trabalho maliciosos.
Para os desenvolvedores que instalaram alguma das 73 extensões OpenVSX sinalizadas, a Socket recomenda rotacionar todos os segredos e limpar seus ambientes de desenvolvimento.
O próximo passo é observar se as 67 extensões inativas restantes serão ativadas nos próximos dias e se o OpenVSX implementará controles de revisão adicionais para atualizações de extensões.
