Investigadores de ciberseguridad han informado que docenas de extensiones de Microsoft Visual Studio Code (VS Code) en el repositorio Open VSX se han vinculado a una campaña persistente de robo de información llamada GlassWorm.
Se ha confirmado que un grupo de 73 extensiones son versiones clonadas de extensiones legítimas. Se ha confirmado que seis de ellos son maliciosos, mientras que el resto actúan como paquetes durmientes aparentemente benignos que engañan a los usuarios para que descarguen y generen confianza, y las actualizaciones posteriores a veces revelan sus verdaderas intenciones.
Según la empresa de seguridad de aplicaciones Socket, todas las extensiones se implementaron a principios de mes, y la última versión se rastreó con el nombre GlassWorm v2. En total, se identificaron más de 320 artefactos desde el 21 de diciembre de 2025. A continuación se muestra una lista de extensiones identificadas como maliciosas.
Outsidestormcommand.monochromator-theme keyacrosslaud.auto-loop-for-antigravity krundoven.ironplc-fast-hub boulderzitunnel.vscode-buddies cubedivervolt.html-code-validate Awarddomain17.version-lens-tool
Además de escribir errores en los nombres de los paquetes originales (CEINTL.vscode-language-pack-tr y Emotionkyo Separe.turkish-language-pack), los durmientes clonados usan los mismos íconos y descripciones que sus contrapartes legítimas para engañar a los desarrolladores desprevenidos para que instalen la extensión.
Esta «confianza visual» actúa como una táctica eficaz de ingeniería social para aumentar orgánicamente el número de instalaciones antes de contaminarse y proporcionar malware a los usuarios intermedios.
Esta revelación se produce cuando los atacantes detrás de la campaña están evolucionando activamente sus técnicas, centrándose en paquetes durmientes y dependencias transitivas para evadir la detección, al tiempo que utilizan droppers basados en Zig para implementar extensiones VSIX secundarias alojadas en GitHub que potencialmente pueden infectar todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.
La extensión identificada por Socket actúa como un cargador benigno para la carga útil real. Esta es una extensión VSIX recuperada de GitHub que se instala en todos los IDE identificados en su sistema, incluidos VS Code, Cursor, Windsurf y VSCodium, mediante el comando «–install-extension».
Independientemente del método utilizado, el objetivo final es el mismo. Ejecuta malware que evade los sistemas rusos, roba datos confidenciales, instala troyanos de acceso remoto (RAT) y despliega en secreto extensiones maliciosas basadas en Chromium que desvían credenciales, marcadores y otra información.
«Este enfoque logra los mismos resultados que las variantes basadas en binario, pero la lógica de entrega se mantiene en JavaScript ofuscado», dijo la compañía. «La extensión actúa como un cargador y, después de la activación, la carga útil se recupera y ejecuta».
Source link
