A empresa de cibersegurança CrowdStrike anunciou a neutralização de uma operação hacker voltada ao comprometimento de desenvolvedores por meio de extensões falsas do Visual Studio Code (VS Code) e outros componentes usados no ecossistema moderno de desenvolvimento de software. A ação contou com apoio do Google e da Shadowserver Foundation.
Segundo os pesquisadores, a campanha, identificada como GlassWorm, atuava desde pelo menos o início de 2025 e tinha como alvo principal desenvolvedores com acesso privilegiado a repositórios de código, pipelines CI/CD, plataformas cloud e registries de pacotes. O objetivo era usar uma única máquina comprometida como porta de entrada para atingir organizações inteiras e cadeias de suprimentos de software.
Um dos diferenciais da operação estava na distribuição de extensões trojanizadas publicadas tanto no Microsoft VS Code Marketplace quanto no Open VSX, permitindo atingir não apenas usuários do VS Code tradicional, mas também plataformas derivadas como Cursor, Windsurf, VSCodium e Positron.
Além das extensões maliciosas, os invasores também contaminaram pacotes npm e bibliotecas Python, ampliando o alcance da campanha. O malware instalado era capaz de roubar credenciais, coletar dados de carteiras de criptomoedas, mapear sistemas infectados e capturar tokens de plataformas utilizadas por desenvolvedores, incluindo GitHub, NPM e OpenVSX.
Pesquisadores identificaram ainda uma variante chamada GlassWormRAT, um malware em JavaScript baseado em WebSocket que permitia execução remota de comandos, roubo de dados de navegadores e instalação de extensões maliciosas no Chrome para capturar teclas digitadas, capturas de tela e conteúdos copiados na área de transferência.
A investigação aponta que mais de 300 repositórios no GitHub foram comprometidos utilizando credenciais roubadas de desenvolvedores afetados. Os sistemas invadidos também podiam ser transformados em infraestrutura clandestina para os criminosos, funcionando como proxies, nós de acesso remoto e servidores ocultos.
Outro ponto de destaque foi a arquitetura sofisticada de comando e controle usada pelos operadores. A campanha utilizava múltiplos canais de C2, incluindo blockchain Solana, BitTorrent DHT, Google Calendar e servidores VPS comerciais para manter a resiliência da infraestrutura contra tentativas de derrubada.
Segundo a CrowdStrike, a operação coordenada buscou neutralizar simultaneamente todos esses canais para impedir a recuperação da infraestrutura criminosa. A atribuição oficial ainda não foi confirmada, mas os pesquisadores apontam possíveis indícios de ligação com cibercriminosos russos.
