La campaña de la cadena de suministro conocida como GlassWorm ha vuelto a ganar impulso, con 24 extensiones haciéndose pasar por herramientas y marcos de desarrollo populares, incluidos Flutter, React, Tailwind, Vim y Vue, infiltrándose tanto en Microsoft Visual Studio Marketplace como en Open VSX.
GlassWorm se documentó por primera vez en octubre de 2025, detallando su uso de la cadena de bloques Solana para comando y control (C2) y recopilación de credenciales npm, Open VSX, GitHub y Git, extrayendo activos de criptomonedas de docenas de billeteras y convirtiendo las máquinas de los desarrolladores en nodos controlados por atacantes para otras actividades delictivas.
El aspecto más importante de esta campaña es el uso indebido de credenciales robadas para comprometer paquetes y extensiones adicionales, propagando así el malware como un gusano. A pesar de los continuos esfuerzos de Microsoft y Open VSX, el malware resurgió por segunda vez el mes pasado y se observó que los atacantes atacaban los repositorios de GitHub.
La última ola de campañas GlassWorm, descubierta por John Tuckner de Secure Anexo, incluye un total de 24 extensiones en ambos repositorios. La lista de extensiones identificadas se encuentra a continuación:
Mercado de códigos VS:
iconkieftwo.icon-theme-materiall prisma-inc.prisma-studio-assistance (eliminado después del 1 de diciembre de 2025) prettier-vsc.vsce-prettier flutcode.flutter-extension csvmech.csvrainbow codevsce.codelddb-vscode saoudrizvsce.claude-devsce Clangdcode.clangd-vsce cweijamysq.sync-settings-vscode bphpburnsus.iconesvscode klustfix.kluster-code-verify vims-vsce.vscode-vim yamlcode.yaml-vscode-extension solblanco.svetle-vsce vsceue.volar-vscode redmat.vscode-quarkus-pro msjsdreact.react-native-vsce
Abra VSX.
bphpburn.icons-vscode tailwind-nuxt.tailwindcss-for-react flutcode.flutter-extension yamlcode.yaml-vscode-extension saoudrizvsce.claude-dev saoudrizvsce.claude-devsce Vitaik.solidity
Se ha descubierto que los atacantes inflan artificialmente los números de descarga para hacer que las extensiones parezcan más confiables, hacer que aparezcan más prominentemente en los resultados de búsqueda, a menudo apareciendo muy cerca del proyecto real que están falsificando, y engañar a los desarrolladores para que instalen la extensión.
«Parece que una vez que se aprueba inicialmente una extensión, los atacantes pueden actualizar fácilmente el código con una nueva versión maliciosa y evitar fácilmente los filtros», dijo Tuckner. «Muchas extensiones de código comienzan en un contexto de ‘activación’ y el código malicioso se introduce poco después de que se produce la activación».
La nueva versión todavía se basa en trucos invisibles de Unicode, pero presenta implantes basados en Rust empaquetados dentro de extensiones. Nextron Systems dijo en su análisis de la extensión “icon-theme-materiall” que viene con dos implantes Rust que pueden apuntar a sistemas Windows y macOS.
Una DLL de Windows llamada os.node Una biblioteca dinámica de macOS llamada darwin.node
Como se observó en infecciones anteriores de GlassWorm, el implante está diseñado para obtener detalles del servidor C2 de la dirección de la billetera blockchain de Solana y usarlos para descargar la carga útil de la siguiente etapa, un archivo JavaScript cifrado. Como respaldo, puede analizar los eventos de Google Calendar para obtener direcciones C2.
«Es raro que un atacante publique más de 20 extensiones maliciosas en una semana en los dos mercados más populares», dijo Tuckner en un comunicado. «Muchos desarrolladores pueden dejarse engañar fácilmente por estas extensiones y ponerse en riesgo con un solo clic».
Source link
