{"id":6728,"date":"2026-05-29T08:00:00","date_gmt":"2026-05-29T11:00:00","guid":{"rendered":"https:\/\/dponet.com.br\/blog\/?p=6728"},"modified":"2026-05-26T13:19:48","modified_gmt":"2026-05-26T16:19:48","slug":"glassworm-v2-extensoes-falsas-vscode-seguranca","status":"publish","type":"post","link":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/","title":{"rendered":"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Est\u00e3o Roubando Dados de Desenvolvedores"},"content":{"rendered":"\n<article itemscope=\"\" itemtype=\"https:\/\/schema.org\/Article\">\n \n\n  <nav>\n    <h2>\u00cdndice<\/h2>\n    <ol>\n      <li><a href=\"#secao1\">O que \u00e9 o GlassWorm V2 e por que ele \u00e9 diferente<\/a><\/li>\n      <li><a href=\"#secao2\">Como o ataque opera na pr\u00e1tica<\/a><\/li>\n      <li><a href=\"#secao3\">O impacto nos tr\u00eas pilares da seguran\u00e7a<\/a><\/li>\n      <li><a href=\"#secao4\">O contexto que torna essa amea\u00e7a ainda mais preocupante<\/a><\/li>\n      <li><a href=\"#secao5\">Por que desenvolvedores s\u00e3o alvos t\u00e3o valiosos<\/a><\/li>\n      <li><a href=\"#secao6\">Boas pr\u00e1ticas para se proteger agora<\/a><\/li>\n      <li><a href=\"#secao7\">O ponto cego que precisa de aten\u00e7\u00e3o<\/a><\/li>\n      <li><a href=\"#secao8\">Seguran\u00e7a come\u00e7a no h\u00e1bito, n\u00e3o na ferramenta<\/a><\/li>\n    <\/ol>\n  <\/nav>\n\n  <section id=\"secao1\" class=\"secao-capitular\">\n\n<br>\n    <h2>O que \u00e9 o GlassWorm V2 e por que ele \u00e9 diferente<\/h2>\n\n    <p>Pesquisadores de ciberseguran\u00e7a identificaram uma campanha persistente de roubo de informa\u00e7\u00f5es batizada de GlassWorm V2. O ataque utiliza o reposit\u00f3rio Open VSX para distribuir dezenas de extens\u00f5es maliciosas que se passam por ferramentas leg\u00edtimas do Visual Studio Code, visando o roubo de dados sens\u00edveis de desenvolvedores.<\/p>\n\n    <p>Contudo, o que torna o GlassWorm V2 especialmente perigoso n\u00e3o \u00e9 apenas o que ele faz. \u00c9 como ele espera para fazer. Diferente de amea\u00e7as gen\u00e9ricas que agem imediatamente ap\u00f3s a instala\u00e7\u00e3o, o GlassWorm V2 utiliza uma t\u00e9cnica chamada de pacotes adormecidos. A extens\u00e3o \u00e9 instalada, funciona normalmente, ganha confian\u00e7a e acumula downloads. Apesar disso, o c\u00f3digo malicioso permanece inativo. Ele s\u00f3 \u00e9 ativado em atualiza\u00e7\u00f5es posteriores, quando a extens\u00e3o j\u00e1 est\u00e1 estabelecida no ambiente da v\u00edtima e qualquer suspeita inicial foi descartada.<\/p>\n  <\/section>\n\n  <section id=\"secao2\" class=\"secao-capitular\">\n    <h2>Como o ataque opera na pr\u00e1tica<\/h2>\n\n    <p>A campanha demonstra um n\u00edvel de maturidade t\u00e9cnica preocupante. Ela se estrutura em tr\u00eas fases distintas, cada uma projetada para superar uma barreira diferente da defesa do desenvolvedor.<\/p>\n\n    <h3>Fase 1: engenharia social e typosquatting<\/h3>\n\n    <p>Os atacantes clonam nomes, \u00edcones e descri\u00e7\u00f5es de extens\u00f5es populares com precis\u00e3o cir\u00fargica. Pacotes de idiomas, temas visuais, ferramentas de versionamento. Um \u00fanico caractere diferente no nome da extens\u00e3o \u00e9 suficiente para enganar quem est\u00e1 com pressa. O usu\u00e1rio busca uma ferramenta conhecida, encontra algo visualmente id\u00eantico e instala sem desconfiar.<\/p>\n\n    <h3>Fase 2: infec\u00e7\u00e3o multi-IDE<\/h3>\n\n    <p>O malware n\u00e3o se limita ao VS Code. Uma vez instalado, ele identifica outros ambientes de desenvolvimento presentes na m\u00e1quina, como Cursor ou VSCodium, e tenta se espalhar para todos eles automaticamente por meio de droppers. Um \u00fanico ponto de entrada pode comprometer toda a cadeia de ferramentas do desenvolvedor.<\/p>\n\n    <h3>Fase 3: persist\u00eancia e exfiltra\u00e7\u00e3o<\/h3>\n\n    <p>Com o acesso estabelecido, o GlassWorm V2 implanta uma extens\u00e3o maliciosa baseada em Chromium para capturar credenciais, favoritos e tokens de autentica\u00e7\u00e3o armazenados no navegador. Paralelamente, instala um RAT (Trojan de acesso remoto) que mant\u00e9m os atacantes com acesso cont\u00ednuo ao ambiente, mesmo ap\u00f3s reinicializa\u00e7\u00f5es do sistema.<\/p>\n\n    <p>[ESPA\u00c7O PARA IMAGEM \u2014 diagrama das tr\u00eas fases do ataque]<\/p>\n  <\/section>\n\n  <section id=\"secao3\" class=\"secao-capitular\">\n    <h2>O impacto nos tr\u00eas pilares da seguran\u00e7a<\/h2>\n\n    <p>O GlassWorm V2 n\u00e3o compromete apenas uma dimens\u00e3o do ambiente de desenvolvimento. Ele atinge em cheio os tr\u00eas pilares fundamentais da seguran\u00e7a da informa\u00e7\u00e3o, conhecidos como tr\u00edade CID.<\/p>\n\n    <p>A confidencialidade \u00e9 altamente comprometida, pois o foco principal do malware \u00e9 o roubo de segredos: chaves de API, credenciais armazenadas no navegador e tokens de autentica\u00e7\u00e3o que d\u00e3o acesso a sistemas cr\u00edticos. A integridade \u00e9 violada, j\u00e1 que o ambiente de desenvolvimento \u00e9 modificado com a instala\u00e7\u00e3o de extens\u00f5es persistentes e ferramentas de acesso remoto n\u00e3o autorizadas, sem que o desenvolvedor perceba a altera\u00e7\u00e3o. A disponibilidade enfrenta risco latente: embora o GlassWorm V2 n\u00e3o seja um wiper, a presen\u00e7a de um RAT ativo permite que os atacantes interrompam opera\u00e7\u00f5es, sequestrem o ambiente de trabalho ou bloqueiem o acesso a qualquer momento.<\/p>\n  <\/section>\n\n  <section id=\"secao4\" class=\"secao-capitular\">\n    <h2>O contexto que torna essa amea\u00e7a ainda mais preocupante<\/h2>\n\n    <p>Desde dezembro de 2025, mais de 320 artefatos maliciosos ligados a essa campanha foram detectados. O uso de JavaScript ofuscado e a t\u00e1tica de evitar sistemas configurados com idioma russo sugerem um grupo de amea\u00e7as organizado, com objetivos geopol\u00edticos ou financeiros claros e com capacidade t\u00e9cnica para refinar continuamente suas t\u00e1ticas de evas\u00e3o.<\/p>\n\n    <p>Todavia, o dado mais relevante n\u00e3o \u00e9 o volume de artefatos. \u00c9 a evolu\u00e7\u00e3o da sofistica\u00e7\u00e3o. A transi\u00e7\u00e3o de bin\u00e1rios simples para extens\u00f5es VSIX capazes de infectar m\u00faltiplas IDEs representa um salto qualitativo que coloca o endpoint de desenvolvimento no centro das preocupa\u00e7\u00f5es de seguran\u00e7a corporativa. Por\u00e9m, toda essa sofistica\u00e7\u00e3o come\u00e7a com algo simples: a confian\u00e7a do desenvolvedor em uma ferramenta de produtividade.<\/p>\n  <\/section>\n\n  <section id=\"secao5\" class=\"secao-capitular\">\n    <h2>Por que desenvolvedores s\u00e3o alvos t\u00e3o valiosos<\/h2>\n\n    <p>O ambiente de desenvolvimento \u00e9 um dos pontos de acesso mais cr\u00edticos de qualquer organiza\u00e7\u00e3o. Um desenvolvedor comprometido n\u00e3o representa apenas um endpoint vulner\u00e1vel. Representa acesso potencial a reposit\u00f3rios de c\u00f3digo, pipelines de CI\/CD, chaves de produ\u00e7\u00e3o, credenciais de servi\u00e7os em nuvem e, em muitos casos, aos pr\u00f3prios sistemas que atendem clientes finais.<\/p>\n\n    <p>Comprometer um desenvolvedor \u00e9, em muitos cen\u00e1rios, comprometer a cadeia inteira. \u00c9 por isso que esse vetor de ataque tem sido cada vez mais explorado por grupos organizados com objetivos de alto impacto. Apesar disso, as boas pr\u00e1ticas que protegem contra esse tipo de amea\u00e7a s\u00e3o acess\u00edveis e diretas. O problema, como quase sempre, \u00e9 a consist\u00eancia na aplica\u00e7\u00e3o.<\/p>\n  <\/section>\n\n  <section id=\"secao6\" class=\"secao-capitular\">\n    <h2>Boas pr\u00e1ticas para se proteger agora<\/h2>\n\n    <p>A prote\u00e7\u00e3o contra o GlassWorm V2 passa por h\u00e1bitos simples e consistentes. Verifique o selo de publicador e instale apenas extens\u00f5es de criadores verificados pelo reposit\u00f3rio oficial. Leia o nome caractere por caractere, pois o typosquatting explora a leitura r\u00e1pida \u2014 uma letra trocada, um h\u00edfen a mais, um ponto no lugar errado j\u00e1 bastam para enganar. Remova extens\u00f5es que n\u00e3o usa, pois cada uma inativa \u00e9 uma superf\u00edcie de ataque potencial.<\/p>\n\n    <p>Desconfie de permiss\u00f5es fora do contexto: uma extens\u00e3o de tema visual n\u00e3o precisa de acesso \u00e0 rede, e uma ferramenta de formata\u00e7\u00e3o de c\u00f3digo n\u00e3o precisa ler vari\u00e1veis de ambiente. Monitore atualiza\u00e7\u00f5es autom\u00e1ticas, pois a t\u00e9cnica do pacote adormecido depende de atualiza\u00e7\u00f5es para ativar o c\u00f3digo malicioso \u2014 revisar changelogs antes de atualizar extens\u00f5es cr\u00edticas \u00e9 uma camada de prote\u00e7\u00e3o simples e eficaz. Sempre que poss\u00edvel, isole ambientes de desenvolvimento utilizando containers ou m\u00e1quinas virtuais, limitando o acesso que uma extens\u00e3o comprometida teria ao sistema principal.<\/p>\n  <\/section>\n\n  <section id=\"secao7\" class=\"secao-capitular\">\n    <h2>O ponto cego que precisa de aten\u00e7\u00e3o<\/h2>\n\n    <p>O GlassWorm V2 exp\u00f5e uma vulnerabilidade estrutural no cotidiano dos times de desenvolvimento: a confian\u00e7a autom\u00e1tica em ferramentas de produtividade. Extens\u00f5es s\u00e3o instaladas rapidamente, raramente auditadas e frequentemente esquecidas ap\u00f3s o uso. Esse comportamento, compreens\u00edvel dado o ritmo de trabalho, cria um vetor de ataque que combina baixa fric\u00e7\u00e3o para o atacante e alta recompensa em termos de acesso.<\/p>\n\n    <p>A seguran\u00e7a do endpoint de desenvolvimento n\u00e3o pode mais ser tratada como responsabilidade exclusiva do time de TI. Ela precisa fazer parte da cultura do pr\u00f3prio desenvolvedor, integrada ao fluxo de trabalho com a mesma naturalidade com que se revisa um pull request ou se configura um ambiente de testes. Todavia, cultura n\u00e3o se constr\u00f3i com uma comunica\u00e7\u00e3o avulsa ou um aviso no canal do Slack. Ela se constr\u00f3i com educa\u00e7\u00e3o cont\u00ednua, exemplos pr\u00e1ticos e um ambiente que torna o comportamento seguro o caminho mais f\u00e1cil a seguir.<\/p>\n  <\/section>\n\n  <section id=\"secao8\" class=\"secao-capitular\">\n    <h2>Seguran\u00e7a come\u00e7a no h\u00e1bito, n\u00e3o na ferramenta<\/h2>\n\n    <p>Amea\u00e7as como o GlassWorm V2 v\u00e3o continuar evoluindo. Os vetores mudam, as t\u00e9cnicas se sofisticam, os alvos se diversificam. Por\u00e9m, a base de qualquer estrat\u00e9gia de defesa eficaz permanece a mesma: pessoas bem informadas, processos consistentes e uma cultura organizacional que trata a seguran\u00e7a como valor, n\u00e3o como burocracia.<\/p>\n\n    <p>Cada extens\u00e3o instalada sem verifica\u00e7\u00e3o \u00e9 uma decis\u00e3o. Cada atualiza\u00e7\u00e3o aceita sem revis\u00e3o \u00e9 uma escolha. A prote\u00e7\u00e3o mais eficaz come\u00e7a exatamente nesses momentos, antes de qualquer ferramenta entrar em cena.<\/p>\n  <\/section>\n<\/article>\n\n\n\n\n    <meta charset=\"UTF-8\">\n    <meta name=\"viewport\" content=\"width=device-width, initial-scale=1.0\">\n    <title>FAQ: GlassWorm V2 \u2013 Como Extens\u00f5es Falsas do VS Code Est\u00e3o Roubando Dados de Desenvolvedores | DPOnet<\/title>\n    <style>\n        * {\n            margin: 0;\n            padding: 0;\n            box-sizing: border-box;\n        }\n\n        body {\n            font-family: 'Open Sans', 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;\n            line-height: 1.6;\n            color: #333;\n            background-color: #f5f5f5;\n            padding: 20px;\n        }\n\n        .container {\n            max-width: 900px;\n            margin: 0 auto;\n            background-color: #fff;\n            padding: 40px;\n            border-radius: 8px;\n            box-shadow: 0 2px 10px rgba(0, 0, 0, 0.1);\n        }\n\n        header {\n            text-align: left;\n            margin-bottom: 40px;\n            padding-bottom: 20px;\n            border-bottom: 3px solid #243155;\n        }\n\n        h1 {\n            font-family: 'Raleway', 'Arial', sans-serif;\n            font-size: 2.2em;\n            color: #243155;\n            margin-bottom: 15px;\n            font-weight: 700;\n        }\n\n        .subtitle {\n            font-size: 1.1em;\n            color: #666;\n            font-style: italic;\n            margin-bottom: 20px;\n        }\n\n        .logo-dponet {\n            margin-top: 20px;\n            font-size: 0.9em;\n            color: #243155;\n            font-weight: 600;\n        }\n\n        .faq-section {\n            margin-bottom: 20px;\n        }\n\n        .faq-item {\n            border: 1px solid #e0e0e0;\n            border-radius: 6px;\n            margin-bottom: 15px;\n            overflow: hidden;\n            transition: all 0.3s ease;\n        }\n\n        .faq-item:hover {\n            box-shadow: 0 3px 10px rgba(36, 49, 85, 0.1);\n        }\n\n        .faq-question {\n            background-color: #243155;\n            color: #fff;\n            padding: 18px 20px;\n            cursor: pointer;\n            font-weight: 600;\n            font-size: 1.05em;\n            display: flex;\n            justify-content: space-between;\n            align-items: center;\n            transition: background-color 0.3s ease;\n        }\n\n        .faq-question:hover {\n            background-color: rgba(36, 49, 85, 0.9);\n        }\n\n        .faq-question::after {\n            content: '+';\n            font-size: 1.5em;\n            font-weight: 300;\n            transition: transform 0.3s ease;\n            flex-shrink: 0;\n            margin-left: 12px;\n        }\n\n        .faq-question.active::after {\n            content: '\u2212';\n            transform: rotate(180deg);\n        }\n\n        .faq-answer {\n            max-height: 0;\n            overflow: hidden;\n            transition: max-height 0.4s ease, padding 0.4s ease;\n            background-color: #fafafa;\n            padding: 0 20px;\n        }\n\n        .faq-answer.active {\n            max-height: 1500px;\n            padding: 20px;\n        }\n\n        .faq-answer p {\n            margin-bottom: 15px;\n            color: #444;\n            line-height: 1.8;\n        }\n\n        .faq-answer ul {\n            margin: 15px 0;\n            padding-left: 20px;\n        }\n\n        .faq-answer li {\n            margin-bottom: 12px;\n            color: #444;\n            line-height: 1.7;\n        }\n\n        .faq-answer strong {\n            color: #243155;\n            font-weight: 600;\n        }\n\n        footer {\n            margin-top: 50px;\n            padding-top: 30px;\n            border-top: 2px solid #e0e0e0;\n            text-align: left;\n        }\n\n        .footer-brand {\n            color: #243155;\n            font-size: 1.3em;\n            font-weight: 700;\n            margin-bottom: 10px;\n        }\n\n        .footer-text {\n            color: #666;\n            font-size: 0.95em;\n            line-height: 1.6;\n        }\n\n        @media (max-width: 768px) {\n            .container {\n                padding: 25px;\n            }\n\n            h1 {\n                font-size: 1.7em;\n            }\n\n            .faq-question {\n                font-size: 1em;\n                padding: 15px;\n            }\n        }\n    <\/style>\n\n\n    <div class=\"container\">\n        <header>\n            <h1>GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Est\u00e3o Roubando Dados de Desenvolvedores<\/h1>\n            <p class=\"subtitle\">Perguntas frequentes sobre como o GlassWorm V2 opera, por que desenvolvedores s\u00e3o alvos t\u00e3o valiosos, quais dados s\u00e3o comprometidos e o que fazer para se proteger agora<\/p>\n            <div class=\"logo-dponet\">DPOnet | Prote\u00e7\u00e3o de Dados e Privacidade<\/div>\n        <\/header>\n\n        <div class=\"faq-section\">\n\n            <div class=\"faq-item\">\n                <div class=\"faq-question\">\n                    1. O que \u00e9 o GlassWorm V2 e o que o torna especialmente dif\u00edcil de detectar?\n                <\/div>\n                <div class=\"faq-answer\">\n                    <p>O GlassWorm V2 \u00e9 uma campanha persistente de roubo de informa\u00e7\u00f5es que distribui dezenas de extens\u00f5es maliciosas pelo reposit\u00f3rio Open VSX, fazendo-as parecer ferramentas leg\u00edtimas do Visual Studio Code. Mas o que o torna especialmente perigoso n\u00e3o \u00e9 apenas o que ele faz \u2014 \u00e9 <strong>como ele espera para fazer<\/strong>.<\/p>\n                    <p>Diferente de amea\u00e7as que agem imediatamente ap\u00f3s a instala\u00e7\u00e3o, o GlassWorm V2 utiliza a t\u00e9cnica dos <strong>pacotes adormecidos<\/strong>: a extens\u00e3o \u00e9 instalada, funciona normalmente, ganha confian\u00e7a e acumula downloads. O c\u00f3digo malicioso permanece inativo e s\u00f3 \u00e9 ativado em atualiza\u00e7\u00f5es posteriores, quando a extens\u00e3o j\u00e1 est\u00e1 estabelecida no ambiente da v\u00edtima e qualquer suspeita inicial foi descartada.<\/p>\n                    <p>O ataque se estrutura em tr\u00eas fases: primeiro, os criminosos clonam nomes, \u00edcones e descri\u00e7\u00f5es de extens\u00f5es populares com precis\u00e3o \u2014 um \u00fanico caractere diferente no nome j\u00e1 \u00e9 suficiente para enganar quem est\u00e1 com pressa. Em seguida, uma vez instalado, o malware se espalha automaticamente para outras IDEs presentes na m\u00e1quina. Por fim, implanta um RAT (Trojan de acesso remoto) que mant\u00e9m os atacantes com acesso cont\u00ednuo ao ambiente, mesmo ap\u00f3s reinicializa\u00e7\u00f5es do sistema.<\/p>\n                <\/div>\n            <\/div>\n\n            <div class=\"faq-item\">\n                <div class=\"faq-question\">\n                    2. Que tipo de dados o GlassWorm V2 rouba e quais dimens\u00f5es da seguran\u00e7a ele compromete?\n                <\/div>\n                <div class=\"faq-answer\">\n                    <p>O GlassWorm V2 n\u00e3o compromete apenas uma dimens\u00e3o do ambiente de desenvolvimento. Ele atinge os tr\u00eas pilares fundamentais da seguran\u00e7a da informa\u00e7\u00e3o \u2014 a tr\u00edade CID:<\/p>\n                    <ul>\n                        <li><strong>Confidencialidade \u2014 altamente comprometida:<\/strong> o foco principal \u00e9 o roubo de segredos \u2014 chaves de API, credenciais armazenadas no navegador e tokens de autentica\u00e7\u00e3o que d\u00e3o acesso a sistemas cr\u00edticos. Uma extens\u00e3o maliciosa baseada em Chromium \u00e9 implantada para capturar esses dados diretamente do navegador<\/li>\n                        <li><strong>Integridade \u2014 violada:<\/strong> o ambiente de desenvolvimento \u00e9 modificado com a instala\u00e7\u00e3o de extens\u00f5es persistentes e ferramentas de acesso remoto n\u00e3o autorizadas, sem que o desenvolvedor perceba nenhuma altera\u00e7\u00e3o<\/li>\n                        <li><strong>Disponibilidade \u2014 risco latente:<\/strong> embora o GlassWorm V2 n\u00e3o seja um wiper, a presen\u00e7a de um RAT ativo permite que os atacantes interrompam opera\u00e7\u00f5es, sequestrem o ambiente de trabalho ou bloqueiem o acesso a qualquer momento<\/li>\n                    <\/ul>\n                    <p>Desde dezembro de 2025, mais de <strong>320 artefatos maliciosos<\/strong> ligados a essa campanha foram detectados, e a sofistica\u00e7\u00e3o crescente \u2014 com JavaScript ofuscado e evas\u00e3o por idioma \u2014 aponta para um grupo organizado com objetivos financeiros ou geopol\u00edticos claros.<\/p>\n                <\/div>\n            <\/div>\n\n            <div class=\"faq-item\">\n                <div class=\"faq-question\">\n                    3. Por que comprometer um desenvolvedor \u00e9 t\u00e3o valioso para os atacantes?\n                <\/div>\n                <div class=\"faq-answer\">\n                    <p>O ambiente de desenvolvimento \u00e9 um dos pontos de acesso mais cr\u00edticos de qualquer organiza\u00e7\u00e3o. Um desenvolvedor comprometido n\u00e3o representa apenas um endpoint vulner\u00e1vel \u2014 representa acesso potencial a:<\/p>\n                    <ul>\n                        <li>Reposit\u00f3rios de c\u00f3digo-fonte<\/li>\n                        <li>Pipelines de CI\/CD<\/li>\n                        <li>Chaves de produ\u00e7\u00e3o e vari\u00e1veis de ambiente<\/li>\n                        <li>Credenciais de servi\u00e7os em nuvem<\/li>\n                        <li>Sistemas que atendem diretamente os clientes finais<\/li>\n                    <\/ul>\n                    <p>Comprometer um desenvolvedor \u00e9, em muitos cen\u00e1rios, <strong>comprometer a cadeia inteira<\/strong>. \u00c9 por isso que esse vetor de ataque tem sido cada vez mais explorado por grupos organizados com objetivos de alto impacto.<\/p>\n                    <p>O que torna o problema ainda mais grave \u00e9 o comportamento habitual: extens\u00f5es s\u00e3o instaladas rapidamente, raramente auditadas e frequentemente esquecidas ap\u00f3s o uso. Esse ritmo de trabalho cria um vetor que combina baixa fric\u00e7\u00e3o para o atacante com alta recompensa em termos de acesso \u2014 exatamente o que o GlassWorm V2 foi projetado para explorar.<\/p>\n                <\/div>\n            <\/div>\n\n            <div class=\"faq-item\">\n                <div class=\"faq-question\">\n                    4. Quais boas pr\u00e1ticas protegem desenvolvedores contra extens\u00f5es maliciosas como o GlassWorm V2?\n                <\/div>\n                <div class=\"faq-answer\">\n                    <p>As boas pr\u00e1ticas que protegem contra esse tipo de amea\u00e7a s\u00e3o acess\u00edveis e diretas. O problema, como quase sempre, \u00e9 a consist\u00eancia na aplica\u00e7\u00e3o:<\/p>\n                    <ul>\n                        <li><strong>Verifique o selo de publicador:<\/strong> instale apenas extens\u00f5es de criadores verificados pelo reposit\u00f3rio oficial \u2014 a presen\u00e7a de um selo de verifica\u00e7\u00e3o \u00e9 o primeiro filtro<\/li>\n                        <li><strong>Leia o nome caractere por caractere:<\/strong> o typosquatting explora a leitura r\u00e1pida \u2014 uma letra trocada, um h\u00edfen a mais, um ponto no lugar errado podem enganar qualquer um com pressa<\/li>\n                        <li><strong>Remova extens\u00f5es que n\u00e3o usa:<\/strong> cada extens\u00e3o inativa \u00e9 uma superf\u00edcie de ataque potencial \u2014 se n\u00e3o est\u00e1 em uso, n\u00e3o deveria estar instalada<\/li>\n                        <li><strong>Desconfie de permiss\u00f5es fora do contexto:<\/strong> uma extens\u00e3o de tema visual n\u00e3o precisa de acesso \u00e0 rede; uma ferramenta de formata\u00e7\u00e3o n\u00e3o precisa ler vari\u00e1veis de ambiente \u2014 pedidos fora do escopo declarado s\u00e3o sinais de alerta<\/li>\n                        <li><strong>Monitore atualiza\u00e7\u00f5es autom\u00e1ticas:<\/strong> a t\u00e9cnica do pacote adormecido depende de atualiza\u00e7\u00f5es para ativar o c\u00f3digo malicioso \u2014 revisar changelogs antes de atualizar extens\u00f5es cr\u00edticas \u00e9 uma camada de prote\u00e7\u00e3o simples e eficaz<\/li>\n                        <li><strong>Isole ambientes de desenvolvimento:<\/strong> sempre que poss\u00edvel, utilize containers ou m\u00e1quinas virtuais, limitando o acesso que uma extens\u00e3o comprometida teria ao sistema principal<\/li>\n                    <\/ul>\n                    <p>A seguran\u00e7a do endpoint de desenvolvimento precisa fazer parte da cultura do pr\u00f3prio desenvolvedor \u2014 integrada ao fluxo de trabalho com a mesma naturalidade com que se revisa um pull request. <strong>Cada extens\u00e3o instalada sem verifica\u00e7\u00e3o \u00e9 uma decis\u00e3o. Cada atualiza\u00e7\u00e3o aceita sem revis\u00e3o \u00e9 uma escolha.<\/strong><\/p>\n                <\/div>\n            <\/div>\n\n        <\/div>\n\n        <footer>\n            <div class=\"footer-brand\">DPOnet<\/div>\n            <p class=\"footer-text\">\n                Consultoria especializada em prote\u00e7\u00e3o de dados e adequa\u00e7\u00e3o \u00e0 LGPD.<br>\n                Transformando complexidade em seguran\u00e7a e conformidade.\n            <\/p>\n        <\/footer>\n    <\/div>\n\n    <script>\n        document.addEventListener('DOMContentLoaded', function() {\n            const questions = document.querySelectorAll('.faq-question');\n\n            questions.forEach(question => {\n                question.addEventListener('click', function() {\n                    const answer = this.nextElementSibling;\n                    const isActive = this.classList.contains('active');\n\n                    document.querySelectorAll('.faq-question').forEach(q => {\n                        q.classList.remove('active');\n                    });\n                    document.querySelectorAll('.faq-answer').forEach(a => {\n                        a.classList.remove('active');\n                    });\n\n                    if (!isActive) {\n                        this.classList.add('active');\n                        answer.classList.add('active');\n                    }\n                });\n            });\n        });\n    <\/script>\n","protected":false},"excerpt":{"rendered":"<p>Imagine baixar uma ferramenta de trabalho que voc\u00ea usa todos os dias, de um reposit\u00f3rio que parece confi\u00e1vel, com o nome quase id\u00eantico ao original. Ela funciona perfeitamente durante semanas. Por\u00e9m, em sil\u00eancio, uma atualiza\u00e7\u00e3o ativa um c\u00f3digo que passa a capturar suas senhas, chaves de API e tokens de autentica\u00e7\u00e3o. Voc\u00ea n\u00e3o percebe nada. O ambiente continua funcionando. Os dados j\u00e1 foram. \u00c9 exatamente assim que o GlassWorm V2 opera, e ele est\u00e1 mirando desenvolvedores de software agora.<\/p>\n","protected":false},"author":3,"featured_media":6729,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,204,175,179],"tags":[],"class_list":["post-6728","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ataques-ciberneticos","category-casos-de-destaque","category-ciberseguranca-e-incidentes","category-noticias-e-atualizacoes"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Roubam Dados<\/title>\n<meta name=\"description\" content=\"Pesquisadores identificaram o GlassWorm V2, malware que usa extens\u00f5es falsas do VS Code para roubar credenciais e acessar remotamente ambientes de desenvolvimento. Saiba como funciona e como se proteger.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Roubam Dados\" \/>\n<meta property=\"og:description\" content=\"Pesquisadores identificaram o GlassWorm V2, malware que usa extens\u00f5es falsas do VS Code para roubar credenciais e acessar remotamente ambientes de desenvolvimento. Saiba como funciona e como se proteger.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/\" \/>\n<meta property=\"og:site_name\" content=\"Blog DPOnet\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-29T11:00:00+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"900\" \/>\n\t<meta property=\"og:image:height\" content=\"600\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Reda\u00e7\u00e3o DPOnet\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Reda\u00e7\u00e3o DPOnet\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"1 minuto\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/\"},\"author\":{\"name\":\"Reda\u00e7\u00e3o DPOnet\",\"@id\":\"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/65249a7cff5282c6d1742c47f5a102b8\"},\"headline\":\"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Est\u00e3o Roubando Dados de Desenvolvedores\",\"datePublished\":\"2026-05-29T11:00:00+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/\"},\"wordCount\":2308,\"image\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp\",\"articleSection\":[\"Ataques Cibern\u00e9ticos\",\"Casos de Destaque\",\"Ciberseguran\u00e7a e Incidentes\",\"Not\u00edcias e Atualiza\u00e7\u00f5es\"],\"inLanguage\":\"pt-BR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/\",\"url\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/\",\"name\":\"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Roubam Dados\",\"isPartOf\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp\",\"datePublished\":\"2026-05-29T11:00:00+00:00\",\"author\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/65249a7cff5282c6d1742c47f5a102b8\"},\"description\":\"Pesquisadores identificaram o GlassWorm V2, malware que usa extens\u00f5es falsas do VS Code para roubar credenciais e acessar remotamente ambientes de desenvolvimento. Saiba como funciona e como se proteger.\",\"breadcrumb\":{\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage\",\"url\":\"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp\",\"contentUrl\":\"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp\",\"width\":900,\"height\":600,\"caption\":\"glassworm-v2-extensoes-falsas-vscode-seguranca\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\/\/dponet.com.br\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Est\u00e3o Roubando Dados de Desenvolvedores\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/dponet.com.br\/blog\/#website\",\"url\":\"https:\/\/dponet.com.br\/blog\/\",\"name\":\"Blog DPOnet\",\"description\":\"Tudo o que voc\u00ea precisa saber sobre LGPD\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/dponet.com.br\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/65249a7cff5282c6d1742c47f5a102b8\",\"name\":\"Reda\u00e7\u00e3o DPOnet\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2025\/03\/cropped-autor-avatar-dponet-96x96.webp\",\"contentUrl\":\"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2025\/03\/cropped-autor-avatar-dponet-96x96.webp\",\"caption\":\"Reda\u00e7\u00e3o DPOnet\"},\"url\":\"https:\/\/dponet.com.br\/blog\/author\/dponet\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Roubam Dados","description":"Pesquisadores identificaram o GlassWorm V2, malware que usa extens\u00f5es falsas do VS Code para roubar credenciais e acessar remotamente ambientes de desenvolvimento. Saiba como funciona e como se proteger.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/","og_locale":"pt_BR","og_type":"article","og_title":"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Roubam Dados","og_description":"Pesquisadores identificaram o GlassWorm V2, malware que usa extens\u00f5es falsas do VS Code para roubar credenciais e acessar remotamente ambientes de desenvolvimento. Saiba como funciona e como se proteger.","og_url":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/","og_site_name":"Blog DPOnet","article_published_time":"2026-05-29T11:00:00+00:00","og_image":[{"width":900,"height":600,"url":"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp","type":"image\/webp"}],"author":"Reda\u00e7\u00e3o DPOnet","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Reda\u00e7\u00e3o DPOnet","Est. tempo de leitura":"1 minuto"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#article","isPartOf":{"@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/"},"author":{"name":"Reda\u00e7\u00e3o DPOnet","@id":"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/65249a7cff5282c6d1742c47f5a102b8"},"headline":"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Est\u00e3o Roubando Dados de Desenvolvedores","datePublished":"2026-05-29T11:00:00+00:00","mainEntityOfPage":{"@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/"},"wordCount":2308,"image":{"@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage"},"thumbnailUrl":"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp","articleSection":["Ataques Cibern\u00e9ticos","Casos de Destaque","Ciberseguran\u00e7a e Incidentes","Not\u00edcias e Atualiza\u00e7\u00f5es"],"inLanguage":"pt-BR"},{"@type":"WebPage","@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/","url":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/","name":"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Roubam Dados","isPartOf":{"@id":"https:\/\/dponet.com.br\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage"},"image":{"@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage"},"thumbnailUrl":"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp","datePublished":"2026-05-29T11:00:00+00:00","author":{"@id":"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/65249a7cff5282c6d1742c47f5a102b8"},"description":"Pesquisadores identificaram o GlassWorm V2, malware que usa extens\u00f5es falsas do VS Code para roubar credenciais e acessar remotamente ambientes de desenvolvimento. Saiba como funciona e como se proteger.","breadcrumb":{"@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/"]}]},{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#primaryimage","url":"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp","contentUrl":"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2026\/05\/glassworm-v2-extensoes-falsas-vscode-seguranca.webp","width":900,"height":600,"caption":"glassworm-v2-extensoes-falsas-vscode-seguranca"},{"@type":"BreadcrumbList","@id":"https:\/\/dponet.com.br\/blog\/glassworm-v2-extensoes-falsas-vscode-seguranca\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/dponet.com.br\/blog\/"},{"@type":"ListItem","position":2,"name":"GlassWorm V2: Como Extens\u00f5es Falsas do VS Code Est\u00e3o Roubando Dados de Desenvolvedores"}]},{"@type":"WebSite","@id":"https:\/\/dponet.com.br\/blog\/#website","url":"https:\/\/dponet.com.br\/blog\/","name":"Blog DPOnet","description":"Tudo o que voc\u00ea precisa saber sobre LGPD","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/dponet.com.br\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Person","@id":"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/65249a7cff5282c6d1742c47f5a102b8","name":"Reda\u00e7\u00e3o DPOnet","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/dponet.com.br\/blog\/#\/schema\/person\/image\/","url":"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2025\/03\/cropped-autor-avatar-dponet-96x96.webp","contentUrl":"https:\/\/dponet.com.br\/blog\/wp-content\/uploads\/2025\/03\/cropped-autor-avatar-dponet-96x96.webp","caption":"Reda\u00e7\u00e3o DPOnet"},"url":"https:\/\/dponet.com.br\/blog\/author\/dponet\/"}]}},"_links":{"self":[{"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/posts\/6728","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/comments?post=6728"}],"version-history":[{"count":2,"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/posts\/6728\/revisions"}],"predecessor-version":[{"id":6731,"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/posts\/6728\/revisions\/6731"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/media\/6729"}],"wp:attachment":[{"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/media?parent=6728"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/categories?post=6728"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dponet.com.br\/blog\/wp-json\/wp\/v2\/tags?post=6728"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}