### Alvo em Desenvolvedores: Um Vetor de Ataque Lucrativo Os operadores da **GlassWorm** têm visado sistematicamente desenvolvedores de software, um público com acesso privilegiado a repositórios de código-fonte, plataformas de nuvem, pipelines CI/CD e registros de pacotes. Isso torna os desenvolvedores um alvo de alto valor para ataques à cadeia de suprimentos de software, onde uma única estação de trabalho comprometida pode impactar milhares de organizações e usuários downstream. ### Campanha Multifacetada Desde sua aparição no ano passado, a **GlassWorm** tem executado uma "campanha multifacetada" envolvendo extensões trojanizadas do **VS Code** publicadas tanto no **Microsoft VS Code Marketplace** quanto no **Open VSX**. Essa tática permitiu que o malware atingisse usuários de forks do **VS Code** como **Cursor**, **Positron**, **Windsurf** e **VSCodium**. A campanha também introduziu código malicioso através de pacotes npm e Python comprometidos. O objetivo final desses ataques é implantar uma estrutura de roubo de dados capaz de coletar credenciais, exfiltrar carteiras de criptomoedas e realizar perfilamento do sistema. ### GlassWormRAT: Roubando Dados do Navegador Iterações subsequentes da **GlassWorm** implantaram um RAT JavaScript baseado em Websocket chamado **GlassWormRAT** para roubar dados do navegador e executar código arbitrário. Isso inclui a instalação de uma extensão do **Google Chrome** que coleta dados sensíveis como capturas de tela, pressionamentos de tecla e conteúdo da área de transferência de sistemas infectados. De acordo com Kiran Raj, pesquisador da **Endor Labs**, "Uma vez ativo, o malware procura no host credenciais de desenvolvedor (tokens do **GitHub**, NPM, **OpenVSX**, carteiras de criptomoedas), permitindo um comprometimento adicional de repositórios e uploads de pacotes."   Hosts infectados são convertidos em infraestrutura oculta, funcionando como proxies SOCKS, servidores VNC ocultos (HVNC) e nós de execução remota (via WebRTC ou processos Node.js iniciados). Isso fornece aos atacantes acesso de rede anonimizado a redes corporativas e pessoais, facilitando a propagação adicional. ### Infraestrutura de C2 Resiliente A atividade maliciosa teria comprometido mais de 300 repositórios do **GitHub** usando credenciais de desenvolvedor roubadas. Uma característica chave da operação foi o uso de quatro canais de C2 distintos para maior resiliência: * Utilizando o **Solana blockchain** como um resolvedor de "dead drop" armazenando endereços de servidores C2 nos campos de memo de transações de blockchain. * Consultando a rede peer-to-peer do BitTorrent Distributed Hash Table (DHT) para recuperar dados de configuração. * Empregando o **Google Calendar** como um resolvedor de "dead drop" para buscar o endereço do servidor C2 a partir de títulos de eventos. * Conectando-se diretamente à infraestrutura de C2 hospedada em provedores de VPS comerciais. "A combinação de blockchain, peer-to-peer e serviços web legítimos como camadas de resolução foi projetada para ser resiliente contra desativações - uma frente dinâmica protegendo os servidores C2 reais por trás de múltiplas camadas de indireção", declarou a **CrowdStrike**. ### Desativação e Atribuição A desativação neutralizou com sucesso todos os quatro canais de C2 simultaneamente, impedindo que máquinas infectadas recebessem novas instruções ou payloads. A **CrowdStrike** descreveu os operadores da **GlassWorm** como "bem financiados e persistentes", atribuindo a atividade a prováveis cibercriminosos baseados na Rússia. Essa avaliação é baseada no comportamento do malware de encerrar a execução em sistemas localizados em países da Commonwealth of Independent States (CIS) e na presença de comentários em russo no código. ### Riscos da Cadeia de Suprimentos de Software "A cadeia de suprimentos de software continua sendo uma das superfícies de ataque mais importantes na computação moderna", concluiu a **CrowdStrike**. "Adversários estão transformando as dependências de uma organização em ferramentas, atualizações e bibliotecas em mecanismos de entrega armados e multiplicadores de força." A empresa de cibersegurança enfatizou que "A barreira para envenenar um pacote ou extensão é baixa; o raio de explosão potencial é enorme. Enquanto os ambientes de desenvolvimento, pipelines de compilação e repositórios de código permanecerem subprotegidos, toda organização que consome software herda o risco de todos que o produzem. A **GlassWorm** demonstra que os atacantes sabem disso e estão investindo em infraestrutura resiliente para manter acesso persistente aos ecossistemas de desenvolvedores."