Logo TecMundo
Segurança

GlassWorm: novo vírus infecta servidores de IA sem deixar rastros

O grupo usa caracteres Unicode invisíveis para esconder código malicioso em arquivos que passam por revisão humana sem acionar alertas.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule25/03/2026, às 18:45

Um grupo de hackers, que opera há cinco meses sem interrupção, acabou de comprometer mais de 150 repositórios no GitHub. O coletivo também foi capaz de inundar um marketplace de extensões com 72 pacotes maliciosos e plantar código invisível dentro de servidores MCP, uma infraestrutura que conecta assistentes de IA como Claude e Cursor ao mundo externo.

Chamada de Wave 5, ou Quinta Onda, a operação mais recente da campanha GlassWorm foi detectada em março de 2026 por pesquisadores das empresas Koi, Aikido e Socket, que rastreiam o grupo de forma independente desde outubro de 2025. A atuação do coletivo, que começou como extensões maliciosas no marketplace OpenVSX, evoluiu para uma das campanhas de supply chain mais sofisticadas já documentadas contra desenvolvedores.

smart_display

Nossos vídeos em destaque

O truque que ninguém vê

A assinatura do GlassWorm não mudou em cinco meses. Eles usam caracteres Unicode invisíveis escondidos dentro de código aparentemente limpo. Funcionam como variações de seletores Unicode que renderizam como espaço em branco em qualquer editor, terminal ou ferramenta de code review. Mas quando decodificados em runtime, revelam uma carga maliciosa JavaScript completa.

glass worm (1).png
O caminho entre um pacote infectado e o controle total da máquina: da instalação silenciosa ao phishing de carteiras hardware e acesso remoto via WebSocket. Imagem: Aikido.

Na prática, um desenvolvedor pode abrir o arquivo, percorrer cada linha, não encontrar nada de errado e dar a revisão como aprovada. O código malicioso simplesmente não aparece.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Essa técnica foi documentada pela primeira vez na Primeira Onda. Cinco iterações depois, ela continua sendo o núcleo da operação, o que diz algo sobre a eficácia dos controles de segurança disponíveis hoje para detectá-la.

O primeiro servidor MCP comprometido

Em 12 de março, o motor de risco da empresa Koi sinalizou um pacote npm suspeito: @iflow-mcp/watercrawl-watercrawl-mcp. À primeira vista parecia legítimo, um TypeScript bem estruturado, dependências reais, link apontando para o repositório original do WaterCrawl MCP.

glass worm.png
O decoder publicado pela empresa Koi: o comentário "thousands of invisible Unicode characters" descreve o que está dentro da string que parece vazia. Imagem: Koi.

Cinco versões publicadas no mesmo dia, da 1.3.0 à 1.3.4. Todas maliciosas desde o primeiro lançamento.

O pacote até incluía um JSON de configuração pronto para ser colado direto em qualquer ferramenta de AI coding. Quem buscasse "watercrawl mcp" no npm poderia instalar a versão errada sem perceber. Dentro do src/index.ts, após 26 linhas de código absolutamente normal, estava o decoder invisível, a mesma estrutura rastreada desde a Primeira Onda.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

MCP (Model Context Protocol) é o protocolo que permite que assistentes de IA se conectem a serviços externos como crawlers, bancos de dados e APIs. Um servidor MCP roda como subprocesso direto do seu editor, na sua máquina, com acesso a variáveis de ambiente, tokens de autenticação e chaves de API.

pagina-com-codigo-html
O ataque se esconde onde os desenvolvedores menos desconfiam: dentro do próprio código que eles revisam.

A diferença crítica em relação a uma extensão maliciosa comum é que o servidor MCP não precisa procurar suas credenciais. Elas são entregues a ele por design. Comprometer um servidor MCP é essencialmente estar sentado no meio da conversa entre o desenvolvedor e todas as ferramentas que ele usa.

150 repositórios com commits que parecem humanos

Entre 3 e 9 de março, o GlassWorm injetou o decoder invisível em mais de 150 repositórios no GitHub. Entre as vítimas confirmadas estão o projeto Reworm (1.460 stars), repositórios da organização anomalyco e um template oficial da Wasmer.

O que torna a operação perturbadora não é só a escala, é o disfarce. Cada commit malicioso vinha embrulhado como uma contribuição normal. Pode ser uma atualização de documentação, bump de versão, pequeno bugfix. As mudanças combinavam com o estilo de código de cada repositório.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital
hacker-programando-no-notebook
O GlassWorm não explora falhas de sistema — explora a confiança de quem instala uma dependência sem questionar.

Produzir isso manualmente em 150 projetos diferentes seria impossível no tempo em que a operação ocorreu. Os pesquisadores apontam uso de LLMs para gerar o disfarce de cada injeção, um padrão que já havia aparecido na Segunda Onda em escala menor e que agora opera de forma industrial.

A nova tática no OpenVSX

No marketplace OpenVSX, o grupo publicou mais de 72 extensões falsas de ferramentas populares como ESLint, Prettier e Flutter, com contagens de download infladas artificialmente.

Mas a inovação desta onda está nos campos extensionPack e extensionDependencies dos manifestos do VSCode. Estes recursos legítimos permitem a uma extensão instalar outras automaticamente, sem nenhuma relação de confiança verificada.

dispositivos-conectados-mais-vulneraveis.jpg
Quando o dispositivo é conectado, o malware detecta a conexão e abre uma janela de phishing pedindo a frase de recuperação.

O fluxo funciona assim: o grupo publica uma extensão de aparência limpa, que acumula instalações. Numa atualização futura, silenciosamente adiciona uma dependência apontando para uma extensão maliciosa.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

O editor instala automaticamente para todos os usuários existentes. O malware nunca estava na extensão revisada, estava uma camada abaixo. Revisar no momento da instalação deixou de ser suficiente.

O que o malware faz depois de entrar

A cadeia opera em múltiplos estágios. Primeiro, coleta credenciais, carteiras de criptomoeda e informações do sistema, compacta tudo em ZIP e envia para um servidor externo.

ataque-sms
Quando o dispositivo é conectado, o malware detecta a conexão e abre uma janela de phishing pedindo a frase de recuperação.

Depois instala dois componentes adicionais: um binário .NET que, ao detectar uma carteira hardware Ledger ou Trezor via USB, abre uma janela de phishing pedindo as 24 palavras da frase de recuperação e reabre se o usuário fechar.

Além um RAT que força a instalação de uma extensão falsa do Chrome disfarçada de "Google Docs Offline", capaz de coletar cookies, histórico, teclas digitadas e screenshots, com vigilância específica configurada para a exchange de criptomoedas Bybit.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

O endereço do servidor de comando nunca está no código. É obtido via transações na blockchain Solana, usada como intermediário. O malware lê um memo de uma transação pública para saber onde se conectar. Análise estática não revela nada.

hack-filler
O servidor MCP roda na máquina do desenvolvedor com acesso a tokens, chaves de API e filesystem local — sem precisar pedir permissão.

Cinco ondas, cinco meses

Para entender a escala do que aconteceu em março, é preciso ver de onde o grupo partiu.

  • Primeira Onda (outubro/2025): Unicode invisível em extensões OpenVSX.
  • Segunda Onda (novembro/2025): pesquisadores acessam o servidor do atacante e encontram vítimas reais, incluindo uma entidade governamental do Oriente Médio.
  • Terceira Onda: binários Rust, expansão para o marketplace oficial da Microsoft.
  • Quarta Onda (dezembro/2025): pivô para macOS, trojanização de hardware wallets, 50.000 downloads.
  • Quinta Onda (março/2026): a maior operação até agora.

Para verificar a exposição, a empresa polonesa AFINE lançou o glassworm-hunter, ferramenta open source que escaneia o sistema em busca de payloads conhecidos da campanha, inteiramente offline e sem telemetria.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 2 horas
Fone de Ouvido Samsung Galaxy Buds4
14% off

Cupom VEMPROCLUBE

Fone de Ouvido Samsung Galaxy Buds4

R$ 1.367,65

Áudio amazon.com.brnew_releases
Panela elétrica de arroz Gaabor RC-20M01AS, 5 xicaras
30% off

Cupom NIVER

Panela elétrica de arroz Gaabor RC-20M01AS, 5 xicaras

R$ 117,76

Eletro pt.aliexpress.comnew_releases
Fone Bluetooth Huawei FreeBuds SE 3
10% off

Cupom TECMUNDO3

Fone Bluetooth Huawei FreeBuds SE 3

R$ 269,76

Áudio pt.aliexpress.comnew_releases
Jogo Pokémon Legends: Z-A, Nintendo Switch 2
18% off

Cupom GAMES50

Jogo Pokémon Legends: Z-A, Nintendo Switch 2

R$ 359,00

Gamer amazon.com.brnew_releases
Jogo The Legend of Zelda: Tears of the Kingdom, Nintendo Switch 2
32% off

Cupom GAMES50

Jogo The Legend of Zelda: Tears of the Kingdom, Nintendo Switch 2

R$ 337,00

Gamer amazon.com.brnew_releases
Teclado Gamer HyperX Alloy Core RGB
45% off

Aproveite!

Teclado Gamer HyperX Alloy Core RGB

R$ 228,90

Gamer amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA