GlassWorm ataca centenas de projetos open source

A campanha de supply chain GlassWorm regressou com uma nova vaga de ataques coordenados que comprometeu centenas de repositórios, pacotes e extensões em plataformas como GitHub, npm e VSCode/OpenVSX.

De acordo com investigadores da Aikido, Socket, Step Security e da comunidade OpenSourceMalware, foram identificados 433 componentes comprometidos neste mês. A análise indica a atuação de um único grupo de ameaça, evidenciada pela utilização do mesmo endereço na blockchain Solana para controlo das operações, bem como por payloads e infraestruturas partilhadas.

A campanha GlassWorm foi inicialmente detetada em outubro de 2025, recorrendo a caracteres unicode invisíveis para ocultar código malicioso capaz de roubar dados de carteiras de criptomoedas e credenciais de developers. Desde então, evoluiu com múltiplas vagas e expansão para novas plataformas.

Na vaga mais recente, o ataque atingiu cerca de 200 repositórios Python no GitHub, 151 projetos JavaScript/TypeScript, 72 extensões VSCode/OpenVSX e 10 pacotes npm. O compromisso inicial ocorre através de contas GitHub comprometidas, utilizadas para introduzir código malicioso.

Posteriormente, os atacantes distribuem pacotes e extensões contaminadas, com código ofuscado para evitar deteção. Em todos os casos, o malware consulta a blockchain Solana a cada cinco segundos para obter instruções, incorporadas em transações sob a forma de memos.

Estas instruções permitem descarregar o runtime Node.js e executar um infostealer em JavaScript. O malware visa dados de carteiras de criptomoedas, credenciais, tokens de acesso, chaves SSH e informação dos ambientes de desenvolvimento.

A campanha também visou sistemas macOS, incluindo versões trojanizadas de clientes para carteiras Trezor e Ledger, e explorou extensões comprometidas para atingir developers.

Como medidas de mitigação, os especialistas recomendam que os developers verifiquem os seus projetos à procura de um indicador de compromisso associado ao GlassWorm. É igualmente aconselhada a inspeção de ficheiros suspeitos, possíveis instalações inesperadas de Node.js no diretório pessoal e ficheiros i.js em projetos recentemente clonados.

Os investigadores alertam ainda para a revisão do histórico de commits, procurando inconsistências entre datas de autor e de submissão, que podem indicar manipulação maliciosa.