Pesquisadores da **Aikido**, **Socket**, **Step Security** e da comunidade **OpenSourceMalware** identificaram coletivamente 433 componentes comprometidos este mês em ataques atribuídos ao **GlassWorm**. ### Visão Geral da Campanha Evidências sugerem que um único ator de ameaça está por trás das campanhas **GlassWorm**, utilizando o mesmo endereço da blockchain **Solana** para atividades de comando e controle (C2), payloads idênticos ou funcionalmente similares, e infraestrutura compartilhada. O **GlassWorm** foi observado pela primeira vez em outubro passado. Os atacantes empregaram caracteres Unicode "invisíveis" para ocultar código malicioso projetado para roubar dados de carteiras de criptomoedas e credenciais de desenvolvedores. A campanha se expandiu para o marketplace oficial **Visual Studio Code** da **Microsoft** e o registro **OpenVSX**, como descoberto pelo pesquisador da Secure Annex, John Tuckner. Sistemas **macOS** também foram alvos, com clientes trojanizados para **Trezor** e **Ledger**, e posteriormente desenvolvedores via extensões **OpenVSX** comprometidas. ### Escopo do Último Ataque A última onda de ataques do **GlassWorm** é significativamente mais extensa, impactando: * 200 repositórios Python no **GitHub** * 151 repositórios JS/TS no **GitHub** * 72 extensões **VSCode/OpenVSX** * 10 pacotes **npm** ### Vetores de Ataque e Técnicas O comprometimento inicial ocorre no **GitHub**, onde contas são comprometidas para forçar o push de commits maliciosos. Pacotes e extensões maliciosas são então publicados no **npm** e **VSCode/OpenVSX**, apresentando código ofuscado (caracteres Unicode invisíveis) para evadir detecção.  *Fonte: Aikido* Em todas as plataformas, a blockchain **Solana** é consultada a cada cinco segundos em busca de novas instruções. De acordo com a **Step Security**, entre 27 de novembro de 2025 e 13 de março de 2026, houve 50 novas transações, a maioria para atualizar o URL do payload. As instruções foram incorporadas como memos nas transações e levaram ao download do runtime **Node.js** e à execução de um infostealer baseado em JavaScript.  *Fonte: Step Security* O malware visa dados de carteiras de criptomoedas, credenciais, tokens de acesso, chaves SSH e dados do ambiente de desenvolvimento. ### Atribuição e Mitigação A análise de comentários de código sugere que atores de ameaça de língua russa podem estar por trás do **GlassWorm**. O malware pula a execução se a localidade russa for encontrada no sistema. No entanto, isso é insuficiente para uma atribuição confiante. A **Step Security** aconselha desenvolvedores que instalam pacotes Python diretamente do **GitHub** ou executam repositórios clonados a verificar sinais de comprometimento procurando em seu codebase pela variável marcadora “lzcdrtfxyqiplpd”, um indicador do malware **GlassWorm**.  *Fonte: Step Security* Eles também recomendam inspecionar sistemas em busca da presença do arquivo *~/init.json*, que é usado para persistência, bem como instalações inesperadas de **Node.js** no diretório home (por exemplo, ~/node-v22*). Adicionalmente, os desenvolvedores devem procurar por arquivos *i.js* suspeitos em projetos clonados recentemente e revisar históricos de commits do **Git** em busca de anomalias, como commits onde a data do committer é significativamente mais nova que a data original do autor.