A campanha Glassworm retornou com dezenas de pacotes maliciosos nas lojas de extensões do VS Code e do Visual Studio que exfiltram tokens, credenciais e código‑fonte. As equipes de segurança são instadas a bloquear extensões não aprovadas, executar varreduras da cadeia de suprimentos e monitorar tokens de CI/CD e de repositórios quanto a uso anômalo.

As equipes de segurança estão observando um ressurgimento da campanha Glassworm, que está distribuindo pacotes maliciosos disfarçados de ferramentas e utilitários legítimos para desenvolvedores nos mercados de extensões do Visual Studio e do VS Code. As extensões maliciosas são projetadas para coletar tokens de desenvolvedor, chaves de API, credenciais de controle de versão e código-fonte, criando um caminho lateral furtivo para sistemas de build, pipelines de CI/CD e repositórios internos. Com acesso a tokens e credenciais, os atacantes podem modificar artefatos de build, inserir dependências maliciosas ou exfiltrar propriedade intelectual e configurações sensíveis. A campanha representa uma ameaça direcionada à cadeia de suprimentos que explora a confiança dos desenvolvedores nos mercados de extensões e os privilégios elevados que os comandos das ferramentas de desenvolvimento frequentemente possuem. As defesas recomendadas incluem aplicar listas de permissão de políticas para extensões, integrar varreduras de cadeia de suprimentos aos fluxos de trabalho de CI, rotacionar tokens e segredos armazenados nas máquinas dos desenvolvedores e monitorar o uso de tokens e a atividade dos repositórios em busca de anomalias. Respondentes a incidentes também aconselham a revogação imediata de tokens comprometidos, análise forense dos logs de build e divulgação coordenada quando bases de código de terceiros ou clientes possam ser afetados.