Investigadores de ciberseguridad han revelado detalles de un ataque a la cadena de suministro dirigido al registro Open VSX. En este ataque, un atacante desconocido comprometió recursos legítimos de los desarrolladores y envió actualizaciones maliciosas a los usuarios intermedios.
«El 30 de enero de 2026, cuatro extensiones Open VSX establecidas publicadas por el autor de oorzc tenían versiones maliciosas publicadas en Open VSX que incorporaban el cargador de malware GlassWorm», dijo el investigador de seguridad de socket Kirill Boychenko en un informe el sábado.
«Estas extensiones se habían presentado anteriormente como utilidades legítimas para desarrolladores (algunas de las cuales se publicaron por primera vez hace más de dos años) y habían acumulado más de 22.000 descargas de Open VSX en total antes de su lanzamiento malicioso».
La firma de seguridad de la cadena de suministro dijo que el ataque a la cadena de suministro incluyó el compromiso de las credenciales públicas de un desarrollador, y el equipo de seguridad de Open VSX evaluó que el incidente involucraba el uso de tokens filtrados u otro acceso no autorizado. Desde entonces, la versión maliciosa ha sido eliminada de Open VSX.
La lista de extensiones identificadas se encuentra a continuación:
Herramientas de sincronización FTP/SFTP/SSH (oorzc.ssh-tools – versión 0.5.1) Herramientas I18n (oorzc.i18n-tools-plus – versión 1.6.8) vscode mindmap (oorzc.mind-map – versión 1.0.61) scss a css (oorzc.scss-to-css-compile – versión 1.3.4)
Según Socket, la versión envenenada está diseñada para entregar malware de carga asociado con una campaña conocida llamada GlassWorm. Este cargador tiene capacidades integradas de descifrado y ejecución en tiempo de ejecución y utiliza una técnica cada vez más utilizada como arma llamada EtherHiding para obtener puntos finales de comando y control (C2) y, en última instancia, ejecutar código diseñado para robar credenciales de Apple macOS y datos de billeteras de criptomonedas.
Al mismo tiempo, el malware explotó sólo después de que se perfiló la máquina comprometida y se determinó que era incompatible con las configuraciones regionales rusas. Este es un patrón común para que los programas maliciosos que se originan o están asociados con atacantes de habla rusa eviten el procesamiento interno.
Los tipos de información recopilada por malware incluyen:
Datos de Mozilla Firefox y navegadores basados en Chromium (inicios de sesión, cookies, historial de Internet, extensiones de billetera como MetaMask) Archivos de billetera de criptomonedas (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance, TonKeeper) Base de datos de iCloud Keychain Cookies de Safari Datos de documentos de usuario de Apple Notes en las carpetas Escritorio, Documentos y Descargas Archivos de configuración de FortiClient VPN Credenciales de desarrollador (por ejemplo, ~/.aws y ~/.ssh)
Dirigirse a la información de los desarrolladores plantea riesgos importantes, ya que expone los entornos empresariales a posibles ataques de movimiento lateral y compromiso de cuentas en la nube.
«La carga útil contiene rutinas para encontrar y extraer material de autenticación utilizado en flujos de trabajo comunes, como inspeccionar la configuración de npm para _authToken y hacer referencia a artefactos de autenticación de GitHub que pueden proporcionar acceso a repositorios privados, secretos de CI y automatización de lanzamientos», dijo Boychenko.
Un aspecto importante de este ataque es que se diferencia de las manifestaciones de GlassWorm observadas anteriormente en que aprovecha las cuentas comprometidas de desarrolladores legítimos para distribuir el malware. En ejemplos anteriores, los atacantes detrás de la campaña utilizaron errores tipográficos y secuestro de marca para cargar y posteriormente difundir extensiones maliciosas.
«Los actores de amenazas se mezclan con los flujos de trabajo normales de los desarrolladores, ocultan la ejecución detrás de cargadores que están cifrados y descifrados en tiempo de ejecución, y utilizan notas de Solana como puntos muertos dinámicos para rotar la infraestructura de prueba sin volver a publicar extensiones», dijo Socket. «Estas opciones de diseño reducen el valor de los indicadores estáticos y cambian la ventaja del defensor hacia la detección del comportamiento y la respuesta rápida».
Source link
