Ir para o conteúdo
DPOnet - Logotipo da marca DPOnet - Adequação LGPD para empresas e DPO online Este símbolo contém as letras DPOnet, que reprentam uma marca de Implementação de LGPD para empresas de forma ágil, fácil e otimizada. Economize até 90%em LGPD. Plataforma completa de gestão de dados pessoais. DPO online.
blog
  • Categorias
    • LGPD e Conformidade
    • Segurança da Informação
    • Cibersegurança e Incidentes
    • Autoridade Nacional de Proteção de Dados- ANPD
    • Setores e LGPD
    • Tecnologia e Inovação
    • Notícias e Atualizações
    • Todas as Categorias
  • Materiais Gratuitos
  • Sobre
  • Categorias
    • LGPD e Conformidade
    • Segurança da Informação
    • Cibersegurança e Incidentes
    • Autoridade Nacional de Proteção de Dados- ANPD
    • Setores e LGPD
    • Tecnologia e Inovação
    • Notícias e Atualizações
    • Todas as Categorias
  • Materiais Gratuitos
  • Sobre
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post
Fale com um consultor
DPOnet - Logotipo da marca DPOnet - Adequação LGPD para empresas e DPO online Este símbolo contém as letras DPOnet, que reprentam uma marca de Implementação de LGPD para empresas de forma ágil, fácil e otimizada. Economize até 90%em LGPD. Plataforma completa de gestão de dados pessoais. DPO online.
blog
  • Categorias
    • LGPD nas empresas
    • Segurança da Informação
    • Autoridade Nacional de Proteção de Dados- ANPD
    • Vazamento de Dados
    • Ataques Cibernéticos
    • LGPD em Órgãos Públicos
  • Materiais gratuitos
  • Sobre
  • Categorias
    • LGPD nas empresas
    • Segurança da Informação
    • Autoridade Nacional de Proteção de Dados- ANPD
    • Vazamento de Dados
    • Ataques Cibernéticos
    • LGPD em Órgãos Públicos
  • Materiais gratuitos
  • Sobre
Fale com um consultor
DPOnet - Logotipo da marca DPOnet - Adequação LGPD para empresas e DPO online Este símbolo contém as letras DPOnet, que reprentam uma marca de Implementação de LGPD para empresas de forma ágil, fácil e otimizada. Economize até 90%em LGPD. Plataforma completa de gestão de dados pessoais. DPO online.
blog

GlassWorm V2: Como Extensões Falsas do VS Code Estão Roubando Dados de Desenvolvedores

Imagine baixar uma ferramenta de trabalho que você usa todos os dias, de um repositório que parece confiável, com o nome quase idêntico ao original. Ela funciona perfeitamente durante semanas. Porém, em silêncio, uma atualização ativa um código que passa a capturar suas senhas, chaves de API e tokens de autenticação. Você não percebe nada. O ambiente continua funcionando. Os dados já foram. É exatamente assim que o GlassWorm V2 opera, e ele está mirando desenvolvedores de software agora.
Foto de Redação DPOnet
Redação DPOnet
  • 29 maio, 2026
  • Leitura: 7 minutos
glassworm-v2-extensoes-falsas-vscode-seguranca
BannerOfertaMaio26

Torne-se um Especialista de Elite em Privacidade

Domine a LGPD na prática com a metodologia exclusiva da Universidade da Privacidade. Saia da teoria e lidere projetos de conformidade com segurança.
QUERO ME ESPECIALIZAR AGORA
img-hero-up
homem_pensando_sobre-empresa_em-conformidade_com_a_lgpd

Sua empresa está adequada e em conformidade com a LGPD, prevenindo incidentes e garantindo o treinamento dos colaboradores?

40% de desconto

SOMENTE EM JUNHO

Fale com um especialista e conheça a melhor solução para garantir a conformidade total com a legislação.

Clique aqui

Índice

  1. O que é o GlassWorm V2 e por que ele é diferente
  2. Como o ataque opera na prática
  3. O impacto nos três pilares da segurança
  4. O contexto que torna essa ameaça ainda mais preocupante
  5. Por que desenvolvedores são alvos tão valiosos
  6. Boas práticas para se proteger agora
  7. O ponto cego que precisa de atenção
  8. Segurança começa no hábito, não na ferramenta

O que é o GlassWorm V2 e por que ele é diferente

Pesquisadores de cibersegurança identificaram uma campanha persistente de roubo de informações batizada de GlassWorm V2. O ataque utiliza o repositório Open VSX para distribuir dezenas de extensões maliciosas que se passam por ferramentas legítimas do Visual Studio Code, visando o roubo de dados sensíveis de desenvolvedores.

Contudo, o que torna o GlassWorm V2 especialmente perigoso não é apenas o que ele faz. É como ele espera para fazer. Diferente de ameaças genéricas que agem imediatamente após a instalação, o GlassWorm V2 utiliza uma técnica chamada de pacotes adormecidos. A extensão é instalada, funciona normalmente, ganha confiança e acumula downloads. Apesar disso, o código malicioso permanece inativo. Ele só é ativado em atualizações posteriores, quando a extensão já está estabelecida no ambiente da vítima e qualquer suspeita inicial foi descartada.

Como o ataque opera na prática

A campanha demonstra um nível de maturidade técnica preocupante. Ela se estrutura em três fases distintas, cada uma projetada para superar uma barreira diferente da defesa do desenvolvedor.

Fase 1: engenharia social e typosquatting

Os atacantes clonam nomes, ícones e descrições de extensões populares com precisão cirúrgica. Pacotes de idiomas, temas visuais, ferramentas de versionamento. Um único caractere diferente no nome da extensão é suficiente para enganar quem está com pressa. O usuário busca uma ferramenta conhecida, encontra algo visualmente idêntico e instala sem desconfiar.

Fase 2: infecção multi-IDE

O malware não se limita ao VS Code. Uma vez instalado, ele identifica outros ambientes de desenvolvimento presentes na máquina, como Cursor ou VSCodium, e tenta se espalhar para todos eles automaticamente por meio de droppers. Um único ponto de entrada pode comprometer toda a cadeia de ferramentas do desenvolvedor.

Fase 3: persistência e exfiltração

Com o acesso estabelecido, o GlassWorm V2 implanta uma extensão maliciosa baseada em Chromium para capturar credenciais, favoritos e tokens de autenticação armazenados no navegador. Paralelamente, instala um RAT (Trojan de acesso remoto) que mantém os atacantes com acesso contínuo ao ambiente, mesmo após reinicializações do sistema.

[ESPAÇO PARA IMAGEM — diagrama das três fases do ataque]

O impacto nos três pilares da segurança

O GlassWorm V2 não compromete apenas uma dimensão do ambiente de desenvolvimento. Ele atinge em cheio os três pilares fundamentais da segurança da informação, conhecidos como tríade CID.

A confidencialidade é altamente comprometida, pois o foco principal do malware é o roubo de segredos: chaves de API, credenciais armazenadas no navegador e tokens de autenticação que dão acesso a sistemas críticos. A integridade é violada, já que o ambiente de desenvolvimento é modificado com a instalação de extensões persistentes e ferramentas de acesso remoto não autorizadas, sem que o desenvolvedor perceba a alteração. A disponibilidade enfrenta risco latente: embora o GlassWorm V2 não seja um wiper, a presença de um RAT ativo permite que os atacantes interrompam operações, sequestrem o ambiente de trabalho ou bloqueiem o acesso a qualquer momento.

O contexto que torna essa ameaça ainda mais preocupante

Desde dezembro de 2025, mais de 320 artefatos maliciosos ligados a essa campanha foram detectados. O uso de JavaScript ofuscado e a tática de evitar sistemas configurados com idioma russo sugerem um grupo de ameaças organizado, com objetivos geopolíticos ou financeiros claros e com capacidade técnica para refinar continuamente suas táticas de evasão.

Todavia, o dado mais relevante não é o volume de artefatos. É a evolução da sofisticação. A transição de binários simples para extensões VSIX capazes de infectar múltiplas IDEs representa um salto qualitativo que coloca o endpoint de desenvolvimento no centro das preocupações de segurança corporativa. Porém, toda essa sofisticação começa com algo simples: a confiança do desenvolvedor em uma ferramenta de produtividade.

Por que desenvolvedores são alvos tão valiosos

O ambiente de desenvolvimento é um dos pontos de acesso mais críticos de qualquer organização. Um desenvolvedor comprometido não representa apenas um endpoint vulnerável. Representa acesso potencial a repositórios de código, pipelines de CI/CD, chaves de produção, credenciais de serviços em nuvem e, em muitos casos, aos próprios sistemas que atendem clientes finais.

Comprometer um desenvolvedor é, em muitos cenários, comprometer a cadeia inteira. É por isso que esse vetor de ataque tem sido cada vez mais explorado por grupos organizados com objetivos de alto impacto. Apesar disso, as boas práticas que protegem contra esse tipo de ameaça são acessíveis e diretas. O problema, como quase sempre, é a consistência na aplicação.

Boas práticas para se proteger agora

A proteção contra o GlassWorm V2 passa por hábitos simples e consistentes. Verifique o selo de publicador e instale apenas extensões de criadores verificados pelo repositório oficial. Leia o nome caractere por caractere, pois o typosquatting explora a leitura rápida — uma letra trocada, um hífen a mais, um ponto no lugar errado já bastam para enganar. Remova extensões que não usa, pois cada uma inativa é uma superfície de ataque potencial.

Desconfie de permissões fora do contexto: uma extensão de tema visual não precisa de acesso à rede, e uma ferramenta de formatação de código não precisa ler variáveis de ambiente. Monitore atualizações automáticas, pois a técnica do pacote adormecido depende de atualizações para ativar o código malicioso — revisar changelogs antes de atualizar extensões críticas é uma camada de proteção simples e eficaz. Sempre que possível, isole ambientes de desenvolvimento utilizando containers ou máquinas virtuais, limitando o acesso que uma extensão comprometida teria ao sistema principal.

O ponto cego que precisa de atenção

O GlassWorm V2 expõe uma vulnerabilidade estrutural no cotidiano dos times de desenvolvimento: a confiança automática em ferramentas de produtividade. Extensões são instaladas rapidamente, raramente auditadas e frequentemente esquecidas após o uso. Esse comportamento, compreensível dado o ritmo de trabalho, cria um vetor de ataque que combina baixa fricção para o atacante e alta recompensa em termos de acesso.

A segurança do endpoint de desenvolvimento não pode mais ser tratada como responsabilidade exclusiva do time de TI. Ela precisa fazer parte da cultura do próprio desenvolvedor, integrada ao fluxo de trabalho com a mesma naturalidade com que se revisa um pull request ou se configura um ambiente de testes. Todavia, cultura não se constrói com uma comunicação avulsa ou um aviso no canal do Slack. Ela se constrói com educação contínua, exemplos práticos e um ambiente que torna o comportamento seguro o caminho mais fácil a seguir.

Segurança começa no hábito, não na ferramenta

Ameaças como o GlassWorm V2 vão continuar evoluindo. Os vetores mudam, as técnicas se sofisticam, os alvos se diversificam. Porém, a base de qualquer estratégia de defesa eficaz permanece a mesma: pessoas bem informadas, processos consistentes e uma cultura organizacional que trata a segurança como valor, não como burocracia.

Cada extensão instalada sem verificação é uma decisão. Cada atualização aceita sem revisão é uma escolha. A proteção mais eficaz começa exatamente nesses momentos, antes de qualquer ferramenta entrar em cena.

FAQ: GlassWorm V2 – Como Extensões Falsas do VS Code Estão Roubando Dados de Desenvolvedores | DPOnet

GlassWorm V2: Como Extensões Falsas do VS Code Estão Roubando Dados de Desenvolvedores

Perguntas frequentes sobre como o GlassWorm V2 opera, por que desenvolvedores são alvos tão valiosos, quais dados são comprometidos e o que fazer para se proteger agora

DPOnet | Proteção de Dados e Privacidade
1. O que é o GlassWorm V2 e o que o torna especialmente difícil de detectar?

O GlassWorm V2 é uma campanha persistente de roubo de informações que distribui dezenas de extensões maliciosas pelo repositório Open VSX, fazendo-as parecer ferramentas legítimas do Visual Studio Code. Mas o que o torna especialmente perigoso não é apenas o que ele faz — é como ele espera para fazer.

Diferente de ameaças que agem imediatamente após a instalação, o GlassWorm V2 utiliza a técnica dos pacotes adormecidos: a extensão é instalada, funciona normalmente, ganha confiança e acumula downloads. O código malicioso permanece inativo e só é ativado em atualizações posteriores, quando a extensão já está estabelecida no ambiente da vítima e qualquer suspeita inicial foi descartada.

O ataque se estrutura em três fases: primeiro, os criminosos clonam nomes, ícones e descrições de extensões populares com precisão — um único caractere diferente no nome já é suficiente para enganar quem está com pressa. Em seguida, uma vez instalado, o malware se espalha automaticamente para outras IDEs presentes na máquina. Por fim, implanta um RAT (Trojan de acesso remoto) que mantém os atacantes com acesso contínuo ao ambiente, mesmo após reinicializações do sistema.

2. Que tipo de dados o GlassWorm V2 rouba e quais dimensões da segurança ele compromete?

O GlassWorm V2 não compromete apenas uma dimensão do ambiente de desenvolvimento. Ele atinge os três pilares fundamentais da segurança da informação — a tríade CID:

  • Confidencialidade — altamente comprometida: o foco principal é o roubo de segredos — chaves de API, credenciais armazenadas no navegador e tokens de autenticação que dão acesso a sistemas críticos. Uma extensão maliciosa baseada em Chromium é implantada para capturar esses dados diretamente do navegador
  • Integridade — violada: o ambiente de desenvolvimento é modificado com a instalação de extensões persistentes e ferramentas de acesso remoto não autorizadas, sem que o desenvolvedor perceba nenhuma alteração
  • Disponibilidade — risco latente: embora o GlassWorm V2 não seja um wiper, a presença de um RAT ativo permite que os atacantes interrompam operações, sequestrem o ambiente de trabalho ou bloqueiem o acesso a qualquer momento

Desde dezembro de 2025, mais de 320 artefatos maliciosos ligados a essa campanha foram detectados, e a sofisticação crescente — com JavaScript ofuscado e evasão por idioma — aponta para um grupo organizado com objetivos financeiros ou geopolíticos claros.

3. Por que comprometer um desenvolvedor é tão valioso para os atacantes?

O ambiente de desenvolvimento é um dos pontos de acesso mais críticos de qualquer organização. Um desenvolvedor comprometido não representa apenas um endpoint vulnerável — representa acesso potencial a:

  • Repositórios de código-fonte
  • Pipelines de CI/CD
  • Chaves de produção e variáveis de ambiente
  • Credenciais de serviços em nuvem
  • Sistemas que atendem diretamente os clientes finais

Comprometer um desenvolvedor é, em muitos cenários, comprometer a cadeia inteira. É por isso que esse vetor de ataque tem sido cada vez mais explorado por grupos organizados com objetivos de alto impacto.

O que torna o problema ainda mais grave é o comportamento habitual: extensões são instaladas rapidamente, raramente auditadas e frequentemente esquecidas após o uso. Esse ritmo de trabalho cria um vetor que combina baixa fricção para o atacante com alta recompensa em termos de acesso — exatamente o que o GlassWorm V2 foi projetado para explorar.

4. Quais boas práticas protegem desenvolvedores contra extensões maliciosas como o GlassWorm V2?

As boas práticas que protegem contra esse tipo de ameaça são acessíveis e diretas. O problema, como quase sempre, é a consistência na aplicação:

  • Verifique o selo de publicador: instale apenas extensões de criadores verificados pelo repositório oficial — a presença de um selo de verificação é o primeiro filtro
  • Leia o nome caractere por caractere: o typosquatting explora a leitura rápida — uma letra trocada, um hífen a mais, um ponto no lugar errado podem enganar qualquer um com pressa
  • Remova extensões que não usa: cada extensão inativa é uma superfície de ataque potencial — se não está em uso, não deveria estar instalada
  • Desconfie de permissões fora do contexto: uma extensão de tema visual não precisa de acesso à rede; uma ferramenta de formatação não precisa ler variáveis de ambiente — pedidos fora do escopo declarado são sinais de alerta
  • Monitore atualizações automáticas: a técnica do pacote adormecido depende de atualizações para ativar o código malicioso — revisar changelogs antes de atualizar extensões críticas é uma camada de proteção simples e eficaz
  • Isole ambientes de desenvolvimento: sempre que possível, utilize containers ou máquinas virtuais, limitando o acesso que uma extensão comprometida teria ao sistema principal

A segurança do endpoint de desenvolvimento precisa fazer parte da cultura do próprio desenvolvedor — integrada ao fluxo de trabalho com a mesma naturalidade com que se revisa um pull request. Cada extensão instalada sem verificação é uma decisão. Cada atualização aceita sem revisão é uma escolha.

DPOnet

Consultoria especializada em proteção de dados e adequação à LGPD.
Transformando complexidade em segurança e conformidade.

Foto de Redação DPOnet

Redação DPOnet

Venha fazer parte da nossa Comunidade Allprivacy, acesse conteúdos como esse, troque experiências com outras pessoas da área e muito mais! 😉

DPOnet
Fundada em 2020 por Ricardo Maravalhas e Marcelo Martins, a DPOnet é membro do Cubo Itaú e pioneira no uso de inteligência artificial em uma plataforma de privacidade no Brasil. A empresa conquistou as certificações ISO 27001 e ISO 27701, reforçando seu compromisso com a segurança e a governança de dados, além de ser reconhecida pelo selo Great Place to Work (GPTW). Com a missão de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD, a DPOnet oferece uma plataforma completa de Gestão de Privacidade, Segurança e Governança de Dados, com DPO as a Service, atendimento de titulares e um modelo baseado em Business Process Outsourcing (BPO). Sua solução já foi utilizada por mais de 4.500 empresas, certificou e treinou mais de 30 mil profissionais em sua metodologia.

Posts Relacionados

gerenciamento-acessos-seguranca-cibernetica-brasil-2026

Gerenciamento de Acessos: A Falha Básica que Abre a Porta para 70% dos Ataques Cibernéticos

Foto de Redação DPOnet
Redação DPOnet
  • 27 maio, 2026 |
  • Leitura: 7 min
simulacao-phishing-treinamento-seguranca-comportamento

Como Aliar Simulações de Phishing a Treinamentos que Realmente Mudam Comportamentos

Foto de Vinicius Gonçalves
Vinicius Gonçalves
  • 22 maio, 2026 |
  • Leitura: 8 min
ataques-ciberneticos-brasil-2025

753,8 Bilhões de Tentativas de Ataques Cibernéticos em Um Ano: O Brasil na Mira do Cibercrime Organizado

Foto de Renata Mercadante
Renata Mercadante
  • 20 maio, 2026 |
  • Leitura: 6 min

Fale com um especialista e fortaleça a proteção de dados da sua empresa.

A DPO Net oferece soluções especializadas para adequação à LGPD, mitigação de riscos e governança em privacidade. Nossos especialistas ajudam sua empresa a garantir conformidade, segurança jurídica e confiança no mercado. Vamos conversar!

PRODUTOS

  • DPO Easy
  • Plataforma DPOnet
  • DPO Advisor
  • DAI Inteligencia Artificial

SOLUÇÕES

  • LGPD para Saúde
  • LGPD para E-commerce
  • LGPD para Escritório Jurídico
  • LGPD para Indústria
  • LGPD para Desenvolvedores de Softwares
  • LGPD para Concessionária
  • DPOnet vs OneTrust

RECURSOS

  • O que é a DPOnet
  • Blog DPOnet
  • DPO Day
  • Cominidade All Privacy
  • Termos e Avisos de Privacidade
  • Área do Cliente
  • Guia LGPD para empresas
  • Marca DPOnet
  • Todos os Materiais

PARCEIROS

  • Parceiro Comercial
  • Parceiro de Serviços

CLIENTES

  • Clientes DPOnet
Entre em Contato!
atendimento@dponet.com.br
+55 (11) 5199-3959

Protegendo sua Privacidade

Conheça nossas práticas de
coleta de dados

facebook footer
instagram footer
linkedin footer
youtube footer

Sua Privacidade

ícone direitos

Democratizamos o acesso às suas informações pessoais, facilitando seu exercício e garantindo transparência.

Nossas Politicas

ícone escudo

Leia nossos Política de Privacidade, Termos de Uso e Política de Cookies.

Seus Direiros

ícone jurídico

Exerça seus direitos. Estamos aqui para ajudar.

Selo Canal de Comunicação LGPD
SeloISO27001
SeloISO27701
selo-gptw

Pompeia/SP

Avenida Perimetral, s/n, Lote 1 A, Bloco 1, Piso Térreo, Distrito Industrial Luiz Pedro Caffer, Pompéia/SP, CEP 17586-220

Marília/SP

Rua Pedro Alpino, 401 – sala 1, piso superior – Jardim Araxa, Marília – SP, 17525-030

Americana/SP

Rua São Gabriel, n. 1555, Andar 5, Edifício Americana Office Tower, Vila Belvedere, CEP 13473-000

CUBO ITAÚ

Alameda Vicente Pinzon, 54 – Vila Olímpia, São Paulo – SP, CEP 04547-130

UNIMED DO BRASIL

Alameda Santos, n. 1827, Conjunto 112, Edifício José Bonifácio de Andrada e Silva, Cerqueira César, CEP 01419-909

© 2025 DPOnet Desenvolvimento de Sistemas e Consultoria em Segurança da Informação Ltda – CNPJ: 36.487.128/0001-79 . Todos os direitos reservados.

DPOnet - Logotipo da marca DPOnet - Adequação LGPD para empresas e DPO online Este símbolo contém as letras DPOnet, que reprentam uma marca de Implementação de LGPD para empresas de forma ágil, fácil e otimizada. Economize até 90%em LGPD. Plataforma completa de gestão de dados pessoais. DPO online.
blog
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post
DPOnet - Logotipo da marca DPOnet - Adequação LGPD para empresas e DPO online Este símbolo contém as letras DPOnet, que reprentam uma marca de Implementação de LGPD para empresas de forma ágil, fácil e otimizada. Economize até 90%em LGPD. Plataforma completa de gestão de dados pessoais. DPO online.
blog
Categorias
  • LGPD e Conformidade
  • Segurança da Informação
  • Cibersegurança e Incidentes
  • Autoridade Nacional de Proteção de Dados- ANPD
  • Setores e LGPD
  • Tecnologia e Inovação
  • Educação e Conscientização
  • Notícias e Atualizações
  • Todas as Categorias
  • LGPD e Conformidade
  • Segurança da Informação
  • Cibersegurança e Incidentes
  • Autoridade Nacional de Proteção de Dados- ANPD
  • Setores e LGPD
  • Tecnologia e Inovação
  • Educação e Conscientização
  • Notícias e Atualizações
  • Todas as Categorias
Materiais Gratuitos
O que é a DPOnet?
Sidebar-DPOnet-768x402
Fale com um consultor
Facebook Instagram Linkedin Youtube
DPOnet - Logotipo da marca DPOnet - Adequação LGPD para empresas e DPO online Este símbolo contém as letras DPOnet, que reprentam uma marca de Implementação de LGPD para empresas de forma ágil, fácil e otimizada. Economize até 90%em LGPD. Plataforma completa de gestão de dados pessoais. DPO online.
blog
Categorias
  • Artigos
  • LGPD nas Empresas
  • Segurança da Informação
  • Autoridade Nacional de Proteção de Dados- ANPD
  • Ataques Cibernéticos
  • Vazamento de Dados
  • LGPD em Órgãos Públicos
  • Artigos
  • LGPD nas Empresas
  • Segurança da Informação
  • Autoridade Nacional de Proteção de Dados- ANPD
  • Ataques Cibernéticos
  • Vazamento de Dados
  • LGPD em Órgãos Públicos
Materiais Gratuitos
O que é a DPOnet?
Sidebar-DPOnet-768x402
Fale com um consultor
Facebook Instagram Linkedin Youtube