Investigadores de ciberseguridad han descubierto un gusano autopropagante que se propaga a través de las extensiones Open VSX Registry y Visual Studio Code (VS Code) en Microsoft Extension Marketplace. Esto pone de relieve cómo los desarrolladores son un objetivo principal de los ataques.
Esta amenaza avanzada, cuyo nombre en código es GlassWorm de Koi Security, es el segundo ataque de este tipo a la cadena de suministro que llega al espacio DevOps en menos de un mes, después del gusano Shai-Hulud que atacó el ecosistema npm a mediados de septiembre de 2025.
Lo que distingue a este ataque es el uso de la cadena de bloques Solana para comando y control (C2), lo que hace que la infraestructura sea más resistente al sabotaje. También utilizamos Google Calendar como mecanismo alternativo de C2.
Otro aspecto novedoso es que la campaña GlassWorm se basa en «caracteres Unicode invisibles que literalmente borran el código malicioso de los editores de código», dijo Idan Dardikman en un informe técnico. «El atacante utilizó un selector de variación Unicode, un carácter especial que forma parte de la especificación Unicode pero que no produce ningún resultado visual».
El objetivo final del ataque es recopilar credenciales de npm, Open VSX, GitHub y Git, exfiltrar fondos de 49 extensiones de billetera de criptomonedas diferentes, implementar un servidor proxy SOCKS para convertir las máquinas de los desarrolladores en un conducto para actividades delictivas, instalar un servidor VNC (HVNC) oculto para acceso remoto y convertir las credenciales robadas en armas para comprometer paquetes adicionales y prórrogas para una mayor proliferación.
Los nombres de las extensiones infectadas se enumeran a continuación. Trece de ellos están en Open VSX y uno en Microsoft Extension Marketplace. Estas extensiones se han descargado aproximadamente 35.800 veces. La primera ola de infecciones se produjo el 17 de octubre de 2025. Actualmente se desconoce cómo fueron secuestradas estas extensiones.
codejoy.codejoy-vscode-extension 1.8.3 y 1.8.4 l-igh-t.vscode-theme-seti-folder 1.2.3 kleinesfilmroellchen.serenity-dsl-syntaxhighlight 0.3.2 JScearcy.rust-doc-viewer 4.2.1 SIRILMP.dark-theme-sm 3.11.4 CodeInKlingon.git-worktree-menu 1.0.9 y 1.0.91 ginfuru.better-nunjucks 0.3.2 ellacrity.recoil 0.7.4 grrrck.positron-plus-1-e 0.0.71 jeronimoekerdt.color-picker-universal 2.8.91 srcery-colors.srcery-colors 0.3.9 sissel.shopify-liquid 4.0.1 TretinV3.forts-api-extention 0.3.1 cline-ai-main.cline-ai-agent 3.1.3 (Mercado de extensiones de Microsoft)
El código malicioso oculto dentro de la extensión está diseñado para buscar transacciones asociadas con billeteras controladas por atacantes en la cadena de bloques de Solana y, si se encuentra, extraer una cadena codificada en Base64 del campo memo y enviarla al servidor C2 (“217.69.3(.)218” o “199.247.10(.)166”) utilizado para recuperar la carga útil de la siguiente etapa. decodificar a .
La carga útil es un ladrón de información que captura credenciales, tokens de autenticación y datos de billeteras de criptomonedas, accede a eventos de Google Calendar, analiza otra cadena codificada en Base64 y se conecta al mismo servidor para recuperar una carga útil con nombre en código Zombi. Los datos se extraen a un punto final remoto (‘140.82.52(.)31:80’) controlado por el actor de la amenaza.
El módulo Zombi, escrito en JavaScript, esencialmente convierte una infección GlassWorm en un compromiso completo al eliminar un proxy SOCKS, un módulo WebRTC para comunicación entre pares, la tabla hash distribuida (DHT) de BitTorrent para distribución distribuida de comandos y HVNC para control remoto.
El problema se complica aún más por el hecho de que las extensiones de VS Code están configuradas para actualizarse automáticamente, lo que permite a los actores de amenazas enviar código malicioso automáticamente sin requerir la interacción del usuario.
«Este no es un ataque aislado a la cadena de suministro», afirmó Durdikman. «Este es un gusano diseñado para propagarse como la pólvora por todo el ecosistema de desarrolladores».
«Los anunciantes han encontrado formas de hacer que el malware de la cadena de suministro sea autónomo. Ya no sólo comprometen paquetes individuales, sino que crean gusanos que pueden propagarse de forma autónoma por todo el ecosistema de desarrollo de software».
El desarrollo se produce cuando el uso de blockchain para organizar cargas maliciosas está aumentando rápidamente debido a su anonimato y flexibilidad, e incluso los actores de amenazas norcoreanos aprovechan la tecnología para orquestar espionaje y campañas con motivación financiera.
Source link
