Pesquisadores de segurança identificaram mais uma variante do GlassWorm, vírus que comprometeu servidores de IA sem ser detectado. Agora, o malware que usa um binário compilado em Zig para instalar silenciosamente uma extensão maliciosa nos ambientes de desenvolvimento integrado de dispositivos da vítima, está se aproveitando do repositório Open VSX.
Chamado “specstudio.code-wakatime-acrivity-tracker”, o vetor da campanha se passa por uma ferramenta legítima de rastreamento de produtividade. Essa extensão já foi removida do repositório. A descoberta é da Aikido Security.
smart_display
Nossos vídeos em destaque
Como funciona a nova versão do GlassWorm
O pesquisador Ilyas Makari, da Aikido, identificou que a extensão instala um arquivo nativo do Node.js, chamado “win.node” no Windows e “mac.node” no macOS. Esses arquivos são, basicamente, bibliotecas compartilhadas compiladas em Zig, uma linguagem de programação simples. Os documentos são, então, carregados diretamente no runtime do Node e executadas fora do sandbox do JavaScript, com acesso ilimitado ao sistema operacional.
Arquivos .node são bibliotecas nativas que o Node carrega como extensões de si mesmo, não do usuário. Isso significa que o código não passa pelo sandbox do JavaScript, o ambiente restrito que normalmente limita o que uma extensão pode fazer no sistema.
Com acesso fora do sandbox, o binário opera no mesmo nível de privilégio que o próprio processo do Node. Então ele pode ler arquivos, abrir conexões de rede, executar processos e acessar variáveis de ambiente sem nenhuma barreira imposta pelo editor.
Sexta onda da campanha representa evolução
De acordo com Makari, não é a primeira vez que o GlassWorm recorre a um código nativo compilado em extensões. A novidade dessa “sexta onda” da campanha é que o binário não é o payload final. Na verdade, ele funciona como um meio para entregar o dropper já utilizado pelos criminosos.
)
Uma vez carregado, o binário escaneia o sistema em busca de todos os softwares que reúnem ferramentas essenciais para programar (IDEs) que suportam extensões no formato do VS Code. Incluindo o Microsoft VS Code e o VS Code Insiders, forks como o VSCodium e o Positron, e ferramentas de codificação assistidas por IA, como o Cursor e o Windsurf.
Depois, o binário baixa uma extensão maliciosa no formato .VSIX de um repositório no GitHub controlado pelo atacante. A extensão é chamada “floktokbok.autoimport” e imita a legítima “steoates.autoimport”, que já foi instalada mais de 5 milhões de vezes no Visual Studio Marketplace oficial.
Então, o arquivo malicioso é gravado em um caminho temporário e instalado silenciosamente em cada IDE encontrado. Para isso, ele usa o próprio instalador de linha de comando de cada editor.
)
Indicações de grupo do Leste Europeu
A extensão maliciosa funciona como um dropper de segundo estágio e contém uma série de comportamentos maliciosos encadeados. O passo a passo começa com uma verificação do sistema operacional. Se a ferramenta identifica que está sendo executada em um sistema russo, ela para de funcionar.
Esse comportamento é comum em campanhas atribuídas a grupos do Leste Europeu, é uma medida para evitar processos legais em seus países de origem.
Técnicas de evasão continuam avançando
Em seguida, para localizar o servidor de comando e controle, a extensão consulta a blockchain Solana. Essa é uma técnica que torna a infraestrutura do atacante resistente a bloqueios, porque não há um domínio fixo para derrubar.
)
Com o endereço do C2 em mãos, a extensão exfiltra dados sensíveis da máquina, instala um trojan de acesso remoto (RAT), e implanta uma extensão maliciosa no Google Chrome para roubar informações.
Desenvolvedores que instalaram o “specstudio.code-wakatime-activity-tracker” ou o “floktokbok.autoimport” devem assumir comprometimento total da máquina.
Pesquisadores recomendam rotacionar imediatamente todas as credenciais, incluindo tokens de API, chaves SSH, segredos de repositórios, variáveis de ambientes e qualquer outra informação sensível que tenha estado acessível no sistema.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
