A campanha maliciosa GlassWorm regressou com um ataque coordenado que comprometeu centenas de pacotes, repositórios e extensões nas plataformas GitHub, npm e VSCode. A ameaça foca-se no roubo de dados de carteiras de criptomoedas, chaves de acesso e credenciais de programadores. A descoberta foi feita em conjunto por investigadores da Aikido, Socket, Step Security e da comunidade OpenSourceMalware, que identificaram um total de 433 componentes infetados durante este mês.
Observada pela primeira vez em outubro passado, esta campanha destacou-se pelo uso de caracteres Unicode invisíveis para ocultar o código malicioso. Agora, a operação expandiu a sua escala e o nível de sofisticação. Os investigadores associam a atividade a um único grupo devido à partilha de infraestruturas, cargas úteis idênticas e ao uso do mesmo endereço na blockchain Solana para comunicar com os servidores de comando e controlo.
A dimensão da nova ameaça
Nesta fase mais recente, o ataque alcançou uma escala muito superior às vagas anteriores. Os dados mostram que foram comprometidos 200 repositórios de Python no GitHub, 151 repositórios de JavaScript e TypeScript, 72 extensões do VSCode e OpenVSX, além de 10 pacotes no npm. O método inicial passa por comprometer contas para forçar a integração de alterações com o código malicioso.
Para evitar a deteção, o código ofuscado consulta a rede Solana a cada cinco segundos em busca de novas instruções. Entre 27 de novembro de 2025 e 13 de março de 2026, ocorreram 50 transações destinadas a atualizar a localização da carga útil. Estas instruções levam o sistema afetado a descarregar a plataforma Node.js e a executar um programa focado em roubar informações.
O histórico da campanha também mostra ataques dirigidos a sistemas operativos da Apple, com a introdução de clientes modificados para carteiras físicas como a Trezor e a Ledger, um caso descoberto pelo investigador John Tuckner da Secure Annex. O código inclui comentários que indicam a possível origem de falantes de russo, além de saltar a execução se detetar o idioma russo no sistema, embora estes dados não sejam suficientes para uma atribuição definitiva.
Como detetar a presença do GlassWorm
Para os programadores que instalam pacotes ou clonam projetos frequentemente, a Step Security partilhou recomendações vitais para identificar sinais de compromisso deste malware. A primeira medida passa por procurar a variável lzcdrtfxyqiplpd na base de código, que funciona como um forte indicador de infeção.
Outros sinais de alerta incluem a presença do ficheiro init.json na pasta do utilizador, usado para manter a persistência no sistema, ou instalações inesperadas do Node.js na diretoria principal. É também aconselhável procurar por ficheiros suspeitos com o nome i.js e analisar o histórico de alterações nos projetos, procurando anomalias nas datas de submissão do código.
Nenhum comentário
Seja o primeiro!