No cenário digital onde a confiança é a moeda mais valiosa, desenvolvedores e servidores de IA estão sob ataque de uma nova e sofisticada ameaça.

Pesquisadores da Aikido Security identificaram uma sexta onda do malware GlassWorm, que utiliza binários compilados na linguagem Zig para instalar silenciosamente extensões maliciosas em ambientes de desenvolvimento integrado (IDEs), comprometendo máquinas e, potencialmente, a infraestrutura de inteligência artificial.

A Falsa Promessa: Quando a Ferramenta Vira Ameaça Silenciosa

Para quem vive e respira código, a ideia de uma extensão de produtividade se transformando em um cavalo de Troia é um pesadelo. Imagine baixar uma ferramenta para otimizar seu tempo, como o popular WakaTime, e ela, na verdade, abrir as portas do seu sistema para um invasor.

É exatamente isso que a extensão “specstudio.code-wakatime-acrivity-tracker” fez no repositório Open VSX. À primeira vista, ela era quase idêntica à versão legítima, mas escondia um dropper que se aproveitava da confiança dos desenvolvedores.

O impacto prático é devastador. Não é apenas um arquivo corrompido; é a integridade de todo o seu ambiente de trabalho que é comprometida. Credenciais, tokens de API, chaves SSH – tudo que um desenvolvedor usa no dia a dia fica exposto.

Para quem já passou horas configurando um ambiente de desenvolvimento, a ideia de ter que rotacionar todas as credenciais e reconstruir a confiança no sistema é exaustiva. É como ter que formatar o PC depois de um download suspeito, mas em escala profissional.

A ameaça se estende a todo o ecossistema de editores que compartilham o sistema de extensões do VS Code. Isso inclui não só o Microsoft VS Code e o VS Code Insiders, mas também forks como VSCodium e Positron, e até ferramentas de codificação assistidas por IA, como Cursor e Windsurf.

Isso significa que a superfície de ataque é vasta, atingindo desde o programador solo até grandes equipes que dependem dessas ferramentas para criar as inovações de amanhã. Para mais detalhes sobre ameaças digitais, você pode conferir o artigo sobre o perigo oculto dos arquivos .SCR.

Zig, Node.js e Solana: A Arquitetura de um Ataque Furtivo

A sofisticação do GlassWorm 6.0 reside na sua arquitetura técnica, que explora vulnerabilidades e tendências tecnológicas de forma engenhosa. O uso da linguagem de programação Zig é um ponto crucial aqui.

Zig é conhecida por sua simplicidade, controle de baixo nível e capacidade de compilar binários pequenos e eficientes para múltiplas plataformas. Para um atacante, isso é ouro: um código leve que pode ser executado em Windows e macOS com binários nativos como “win.node” e “mac.node”.

Esses arquivos, compilados em Zig, são carregados diretamente no runtime do Node.js. O pulo do gato? Eles são executados fora do sandbox do JavaScript. Pense no sandbox como a área de segurança restrita de um playground digital.

Quando o código sai do sandbox, ele ganha acesso ilimitado ao sistema operacional, operando com os mesmos privilégios do próprio processo do Node. É como dar a chave mestra da casa para um estranho, permitindo que ele leia arquivos, abra conexões de rede e execute processos sem barreiras.

A extensão maliciosa inicial, “specstudio.code-wakatime-acrivity-tracker”, atua como um dropper. Ela não é o payload final, mas sim o entregador de uma segunda extensão maliciosa, a “floktokbok.autoimport”, que imita a legítima “steoates.autoimport”.

Uma vez instalada, essa segunda extensão realiza uma série de ações maliciosas. Primeiro, ela verifica o sistema operacional. Se identifica que está em um sistema russo, ela para de funcionar – uma tática comum de grupos do Leste Europeu para evitar problemas legais em seus países de origem.

Em seguida, para localizar seu servidor de comando e controle (C2), o GlassWorm consulta a blockchain Solana. Essa é uma técnica de evasão brilhante. Em vez de um domínio fixo que pode ser derrubado, o C2 está em uma rede descentralizada, tornando a infraestrutura do atacante extremamente resistente a bloqueios.

Se você está interessado em mais informações sobre segurança digital, o artigo sobre hackers que exploram domínios do Gov.br pode ser interessante.

Com o endereço do C2 em mãos, a extensão exfiltra dados sensíveis da máquina, instala um trojan de acesso remoto (RAT) e implanta uma extensão maliciosa no Google Chrome para roubar ainda mais informações. É um ataque em camadas, pensado para máxima persistência e coleta de dados.

Desenvolvedores que instalaram as extensões “specstudio.code-wakatime-acrivity-tracker” ou “floktokbok.autoimport” devem assumir o comprometimento total de suas máquinas e rotacionar imediatamente todas as credenciais.