GlassWorm: novo vírus infecta servidores de IA sem deixar rastros

Um grupo de hackers, que opera há cinco meses sem interrupção, acabou de comprometer mais de 150 repositórios no GitHub. O coletivo também foi capaz de inundar um marketplace de extensões com 72 pacotes maliciosos e plantar código invisível dentro de servidores MCP, uma infraestrutura que conecta assistentes de IA como Claude e Cursor ao mundo externo.

Chamada de Wave 5, ou Quinta Onda, a operação mais recente da campanha GlassWorm foi detectada em março de 2026 por pesquisadores das empresas Koi, Aikido e Socket, que rastreiam o grupo de forma independente desde outubro de 2025. A atuação do coletivo, que começou como extensões maliciosas no marketplace OpenVSX, evoluiu para uma das campanhas de supply chain mais sofisticadas já documentadas contra desenvolvedores.

O truque que ninguém vê

A assinatura do GlassWorm não mudou em cinco meses. Eles usam caracteres Unicode invisíveis escondidos dentro de código aparentemente limpo. Funcionam como variações de seletores Unicode que renderizam como espaço em branco em qualquer editor, terminal ou ferramenta de code review. Mas quando decodificados em runtime, revelam uma carga maliciosa JavaScript completa.

Na prática, um desenvolvedor pode abrir o arquivo, percorrer cada linha, não encontrar nada de errado e dar a revisão como aprovada. O código malicioso simplesmente não aparece.

Essa técnica foi documentada pela primeira vez na Primeira Onda. Cinco iterações depois, ela continua sendo o núcleo da operação, o que diz algo sobre a eficácia dos controles de segurança disponíveis hoje para detectá-la.

O primeiro servidor MCP comprometido

Em 12 de março, o motor de risco da empresa Koi sinalizou um pacote npm suspeito: @iflow-mcp/watercrawl-watercrawl-mcp. À primeira vista parecia legítimo, um TypeScript bem estruturado, dependências reais, link apontando para o repositório original do WaterCrawl MCP.

Cinco versões publicadas no mesmo dia, da 1.3.0 à 1.3.4. Todas maliciosas desde o primeiro lançamento.

O pacote até incluía um JSON de configuração pronto para ser colado direto em qualquer ferramenta de AI coding. Quem buscasse “watercrawl mcp” no npm poderia instalar a versão errada sem perceber. Dentro do src/index.ts, após 26 linhas de código absolutamente normal, estava o decoder invisível, a mesma estrutura rastreada desde a Primeira Onda.

MCP (Model Context Protocol) é o protocolo que permite que assistentes de IA se conectem a serviços externos como crawlers, bancos de dados e APIs. Um servidor MCP roda como subprocesso direto do seu editor, na sua máquina, com acesso a variáveis de ambiente, tokens de autenticação e chaves de API.

A diferença crítica em relação a uma extensão maliciosa comum é que o servidor MCP não precisa procurar suas credenciais. Elas são entregues a ele por design. Comprometer um servidor MCP é essencialmente estar sentado no meio da conversa entre o desenvolvedor e todas as ferramentas que ele usa.

150 repositórios com commits que parecem humanos

Entre 3 e 9 de março, o GlassWorm injetou o decoder invisível em mais de 150 repositórios no GitHub. Entre as vítimas confirmadas estão o projeto Reworm (1.460 stars), repositórios da organização anomalyco e um template oficial da Wasmer.

O que torna a operação perturbadora não é só a escala, é o disfarce. Cada commit malicioso vinha embrulhado como uma contribuição normal. Pode ser uma atualização de documentação, bump de versão, pequeno bugfix. As mudanças combinavam com o estilo de código de cada repositório.

Produzir isso manualmente em 150 projetos diferentes seria impossível no tempo em que a operação ocorreu. Os pesquisadores apontam uso de LLMs para gerar o disfarce de cada injeção, um padrão que já havia aparecido na Segunda Onda em escala menor e que agora opera de forma industrial.

A nova tática no OpenVSX

No marketplace OpenVSX, o grupo publicou mais de 72 extensões falsas de ferramentas populares como ESLint, Prettier e Flutter, com contagens de download infladas artificialmente.

Mas a inovação desta onda está nos campos extensionPack e extensionDependencies dos manifestos do VSCode. Estes recursos legítimos permitem a uma extensão instalar outras automaticamente, sem nenhuma relação de confiança verificada.

O fluxo funciona assim: o grupo publica uma extensão de aparência limpa, que acumula instalações. Numa atualização futura, silenciosamente adiciona uma dependência apontando para uma extensão maliciosa.

O editor instala automaticamente para todos os usuários existentes. O malware nunca estava na extensão revisada, estava uma camada abaixo. Revisar no momento da instalação deixou de ser suficiente.

O que o malware faz depois de entrar

A cadeia opera em múltiplos estágios. Primeiro, coleta credenciais, carteiras de criptomoeda e informações do sistema, compacta tudo em ZIP e envia para um servidor externo.

Depois instala dois componentes adicionais: um binário .NET que, ao detectar uma carteira hardware Ledger ou Trezor via USB, abre uma janela de phishing pedindo as 24 palavras da frase de recuperação e reabre se o usuário fechar.

Além um RAT que força a instalação de uma extensão falsa do Chrome disfarçada de “Google Docs Offline”, capaz de coletar cookies, histórico, teclas digitadas e screenshots, com vigilância específica configurada para a exchange de criptomoedas Bybit.

O endereço do servidor de comando nunca está no código. É obtido via transações na blockchain Solana, usada como intermediário. O malware lê um memo de uma transação pública para saber onde se conectar. Análise estática não revela nada.

Cinco ondas, cinco meses

Para entender a escala do que aconteceu em março, é preciso ver de onde o grupo partiu.

• Primeira Onda (outubro/2025): Unicode invisível em extensões OpenVSX.
• Segunda Onda (novembro/2025): pesquisadores acessam o servidor do atacante e encontram vítimas reais, incluindo uma entidade governamental do Oriente Médio.
• Terceira Onda: binários Rust, expansão para o marketplace oficial da Microsoft.
• Quarta Onda (dezembro/2025): pivô para macOS, trojanização de hardware wallets, 50.000 downloads.
• Quinta Onda (março/2026): a maior operação até agora.

Para verificar a exposição, a empresa polonesa AFINE lançou o glassworm-hunter, ferramenta open source que escaneia o sistema em busca de payloads conhecidos da campanha, inteiramente offline e sem telemetria.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.