--- title: "Alerta Devs de Mac! Malware GlassWorm ataca carteiras de cripto via VSCode." author: "Gabriela P. Torres" date: "2026-01-02 13:13:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2026/01/02/alerta-devs-de-mac-malware-glassworm-ataca-carteiras-de-cripto-via-vscode/md" --- # O Bug: Confiança como Vetor de Ataque A premissa fundamental de um ambiente de desenvolvimento é a confiança nas ferramentas. Você instala uma extensão no Visual Studio Code (VSCode) esperando um ganho de produtividade, não um backdoor para suas informações mais sensíveis. No entanto, a realidade é que essa premissa é, logicamente, falsa. A quarta onda do malware conhecido como 'GlassWorm', identificada por pesquisadores da Koi Security, explora exatamente essa confiança para atacar desenvolvedores que utilizam macOS. ## Análise Lógica do Ataque: Desmontando o Modus Operandi O ataque do GlassWorm segue uma sequência lógica precisa, projetada para evadir a detecção e maximizar o dano. Vamos dissecar o processo: **SE** um desenvolvedor instala uma das extensões maliciosas no VSCode ou em um editor compatível com OpenVSX;**ENTÃO** um payload JavaScript, criptografado com AES-256-CBC, é secretamente incorporado ao ambiente de desenvolvimento.**ENTÃO** o script malicioso aguarda um atraso de 15 minutos antes da execução. Essa pausa é uma tática deliberada para enganar sistemas de análise automatizada (sandboxes), que geralmente monitoram atividades por um período curto.**ENTÃO**, em vez de usar PowerShell (comum em ataques a Windows), o malware utiliza AppleScript para executar suas ações e se estabelece no sistema por meio de LaunchAgents para garantir persistência, ou seja, para ser executado novamente toda vez que o sistema é iniciado.**O OBJETIVO FINAL** é multifacetado: roubar credenciais de contas de desenvolvedor (GitHub, npm), extrair dados de mais de 50 extensões de carteiras de criptomoedas para navegadores e subtrair senhas diretamente do Keychain do macOS.Adicionalmente, esta nova versão do GlassWorm possui uma funcionalidade para verificar a presença de aplicativos de carteiras de hardware, como Ledger Live e Trezor Suite, e substituí-los por versões 'trojanizadas' (falsificadas). Segundo o relatório da Koi Security, esta funcionalidade específica está falhando no momento do ataque, retornando arquivos vazios. Contudo, a estrutura do ataque está pronta, aguardando apenas que os payloads corretos sejam carregados na infraestrutura do atacante. ## Verificação de Fatos: As Extensões Comprometidas A ameaça não é teórica. Ela foi distribuída através de extensões específicas que, segundo os dados, registraram mais de 33.000 instalações — um número que, vale ressaltar, pode ser inflado pelos próprios criminosos para gerar uma falsa sensação de legitimidade. As extensões identificadas são: studio-velte-distributor.pro-svelte-extensioncudra-production.vsce-prettier-proPuccin-development.full-access-catppuccin-pro-extensionSe você tem alguma dessas extensões instalada, seu sistema deve ser considerado comprometido até que se prove o contrário. ## A Caixa de Ferramentas: Protocolo de Segurança Acionável Diante dos fatos, a ambiguidade não é uma opção. A seguir, um protocolo claro e direto para mitigar o risco e remediar uma possível infecção: **Auditoria Imediata:** Verifique a lista de extensões instaladas no seu VSCode. Compare-a, nome por nome, com a lista de ameaças confirmadas acima.**Remoção Completa:** Desinstale imediatamente qualquer uma das extensões maliciosas identificadas. Não basta desativá-las.**Revogação de Credenciais:** Altere a senha da sua conta GitHub. Vá até suas configurações de npm e revogue todos os tokens de acesso ativos. Gere novos tokens conforme a necessidade.**Verificação do Sistema:** Examine seus LaunchAgents em busca de entradas suspeitas. Monitore a atividade de rede e os processos em execução. Para garantir a eliminação completa, a reinstalação do sistema operacional é a medida mais segura.A conclusão lógica é que a conveniência oferecida por marketplaces de extensões vem com um custo de segurança inerente. A premissa de que um ecossistema verificado é um ecossistema seguro é, e sempre foi, falsa. A verificação constante e a desconfiança sistemática são as únicas variáveis verdadeiras para a segurança de um desenvolvedor.