--- title: "Alerta para devs Mac; Malware GlassWorm se esconde em extensões do OpenVSX" author: "Ignácio Afonso" date: "2026-02-05 08:52:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2026/02/05/alerta-para-devs-mac-malware-glassworm-se-esconde-em-extensoes-do-openvsx/md" --- # O Cavalo de Troia no seu Editor de Código Imagine o seguinte: você, um desenvolvedor diligente, instala uma extensão no seu editor de código para facilitar a vida. Afinal, a ferramenta certa no lugar certo é o que separa o código elegante do caos. Mas, sem saber, você acabou de abrir a porta de casa para um ladrão digital. Esse é o "bug" da vez, e ele se chama **GlassWorm**. Esse malware sorrateiro está tirando o sono de desenvolvedores macOS ao se infiltrar em extensões do OpenVSX, o primo de código aberto do marketplace do Visual Studio Code. O problema? Ele é silencioso, eficiente e está de olho justamente no que você tem de mais valioso: suas senhas, chaves de carteiras de criptomoedas e segredos de desenvolvimento. Vamos desbugar essa ameaça juntos e entender como se proteger. ## A Arqueologia do Ataque: Como o GlassWorm Funciona? Diferente de um ataque barulhento, o GlassWorm opera com a sutileza de um arqueólogo descobrindo uma ruína. Em vez de criar algo novo, ele se aproveita do que já existe e é confiável. Os operadores do malware comprometeram a conta de um desenvolvedor legítimo e simplesmente publicaram atualizações maliciosas para quatro de suas extensões populares. É um clássico ataque à cadeia de suprimentos (ou *supply chain attack*), onde o veneno é injetado diretamente na fonte. Pense nisso como encontrar um pergaminho antigo com uma anotação venenosa escondida na margem. Por fora, parece legítimo. Por dentro, é um perigo. O código malicioso era até mesmo ocultado usando caracteres Unicode "invisíveis", uma técnica engenhosa para passar despercebido. As extensões comprometidas foram: oorzc.ssh-tools (v0.5.1)oorzc.i18n-tools-plus (v1.6.8)oorzc.mind-map (v1.0.61)oorzc.scss-to-css-compile (v1.3.4)Juntas, elas somavam dezenas de milhares de downloads, o que mostra o alcance potencial do estrago. ## E Daí? O Que o Malware Realmente Faz? Uma vez instalado, o GlassWorm começa seu trabalho sujo. Ele tem como alvo exclusivo sistemas macOS e, para garantir que não será facilmente removido, ele estabelece persistência. Como? Criando um **LaunchAgent**. **Desbugando o LaunchAgent:** Pense no LaunchAgent como um post-it eletrônico deixado para o sistema operacional com a seguinte instrução: "Ei, toda vez que o usuário fizer login, me execute também". Isso garante que o malware sobreviva a uma reinicialização, como aquele sistema COBOL antigo que simplesmente se recusa a morrer (com a diferença de que o COBOL geralmente está fazendo algo útil). Com a persistência garantida, ele começa a vasculhar seu sistema em busca de ouro digital: Dados de navegadores (Firefox e baseados em Chromium).Informações de extensões e aplicativos de carteiras de criptomoedas.Dados do Chaveiro (Keychain) do macOS.Segredos de desenvolvedores e documentos locais.Tudo isso é empacotado e enviado para a infraestrutura do atacante. Curiosamente, a campanha parece ignorar sistemas configurados com a localidade russa, o que pode ser uma pista sobre a origem dos operadores. Parece que até os cibercriminosos têm suas preferências geográficas. Ou talvez eles só não queiram problemas em casa. Vai saber. ## Sua Caixa de Ferramentas Anti-GlassWorm A boa notícia é que a Eclipse Foundation, que mantém o OpenVSX, já removeu as versões maliciosas. No entanto, se você baixou uma das extensões durante o período infectado, precisa agir. Aqui está sua caixa de ferramentas para se proteger. **Verifique Suas Extensões:** O primeiro passo é o mais óbvio. Verifique se você possui alguma das extensões listadas acima e confira a versão instalada. Se for uma das versões comprometidas, passe para o próximo passo imediatamente.**Faça uma Limpeza Completa:** Se você foi afetado, é hora da faxina. Desinstale a extensão maliciosa e considere usar uma ferramenta de segurança confiável para escanear seu sistema em busca do LaunchAgent e outros vestígios do malware.**Gire Suas Chaves e Senhas:** Este é o passo mais crítico. Troque **TODAS** as suas senhas, chaves de API, tokens de acesso e segredos de desenvolvimento. Pense nisso como trocar as fechaduras de casa depois de perder a chave. É chato, mas absolutamente necessário. Assuma que tudo foi comprometido.**Adote a Desconfiança Saudável:** Este incidente é um lembrete de que até mesmo ferramentas de fontes aparentemente seguras podem ser um vetor de ataque. Sempre verifique o que você está instalando e fique de olho em atualizações suspeitas.No fim das contas, o GlassWorm é mais uma prova de que, no mundo digital, a vigilância constante não é paranoia, é prudência. Assim como um sistema mainframe bem mantido, um ambiente de desenvolvimento seguro requer atenção aos detalhes e uma boa dose de ceticismo saudável.