Ataques de código malicioso afetam 151 repositórios do GitHub e o VS CODE — Glassworm utiliza blockchain para roubar tokens, credenciais e segredos

Pesquisadores da Aikido Security divulgaram que encontraram pelo menos 151 repositórios do GitHub comprometidos por um ator de ameaças conhecido como Glassworm. Esse grupo utiliza caracteres Unicode, que são invisíveis ao olho humano, para ocultar cargas maliciosas. Os repositórios afetados foram comprometidos entre os dias 3 e 9 de março, e a campanha se expandiu para o npm e o mercado do VS Code.

A técnica explorada consiste em usar caracteres da Área de Uso Privado do Unicode — especificamente, os intervalos 0xFE00 a 0xFE0F e 0xE0100 a 0xE01EF. Esses caracteres aparecem como espaços em branco nos editores de código, tornando difícil para um desenvolvedor identificar códigos suspeitos durante uma revisão. Um pequeno decodificador extrai os bytes ocultos e os passa para a função eval(), executando assim uma carga maliciosa completa. Em incidentes anteriores, essa carga buscava e executava um script de segunda fase que usava a blockchain Solana como um canal de comando e controle, podendo roubar tokens, credenciais e segredos.

A equipe da Aikido sugere que os 151 repositórios identificados são apenas uma parte do total, já que muitos foram excluídos antes da divulgação da pesquisa. Entre os alvos notáveis estão repositórios de Wasmer, Reworm e anomalyco, a organização por trás do OpenCode e SST. O mesmo padrão de decodificação também foi encontrado em pelo menos dois pacotes do npm e em uma extensão do VS Code enviada no dia 12 de março.

Infelizmente, a recente campanha do Glassworm é mais difícil de combater do que as anteriores, devido à sofisticação das injeções maliciosas. Em vez de aparecer como commits claramente suspeitos, elas se apresentam como pequenos ajustes e alterações de versão que são “estilisticamente consistentes com cada projeto alvo.” Aikido suspeita que os atacantes estejam utilizando grandes modelos de linguagem para gerar esse camuflagem, já que criar 151 alterações de código personalizadas em diferentes bases de código seria inviável manualmente.

O Glassworm está ativo desde pelo menos março de 2025, quando a Aikido detectou pela primeira vez a técnica invisível em pacotes maliciosos do npm. Em outubro do mesmo ano, o mesmo ator começou a operar no registro de extensões do Open VSX e em repositórios do GitHub. Investigações anteriores descobriram que o grupo utilizou credenciais roubadas do npm, Git e GitHub para espalhar o worm, com cargas decodificadas implantando servidores VNC ocultos e proxies SOCKS para acesso remoto. A infraestrutura baseada em blockchain dificulta a remoção, já que as transações na blockchain não podem ser modificadas ou deletadas.

Aikido recomenda que se faça uma análise cuidadosa dos nomes e dependências dos pacotes antes de integrá-los a projetos, além de utilizar ferramentas automatizadas que escaneiem especificamente em busca de caracteres Unicode invisíveis, uma vez que a revisão visual do código não é suficiente para proteger contra esse tipo de injeção.