CrowdStrike anunció que se está asociando con Google y Shadowserver Foundation para interrumpir simultáneamente todos los canales de comando y control (C2) asociados con GlassWorm, una campaña en cadena de software persistente que se dirige a los desarrolladores de software a través de paquetes y extensiones maliciosos.
«Desde al menos principios de 2025, los operadores de GlassWorm se han dirigido sistemáticamente a los desarrolladores de software, aquellos con acceso a repositorios de código fuente, plataformas en la nube, canales de CI/CD y registros de paquetes», dijo CrowdStrike.
Este desarrollo se produce cuando los desarrolladores se están convirtiendo en objetivos cada vez más lucrativos para llevar a cabo ataques a la cadena de suministro de software, lo que permite a los atacantes aprovechar una única estación de trabajo comprometida para impactar a miles de organizaciones y usuarios a la vez.
Desde su aparición el año pasado, GlassWorm ha estado ejecutando una «campaña multifacética» utilizando extensiones troyanizadas de VS Code publicadas tanto en Microsoft VS Code Marketplace como en Open VSX, lo que le permite dirigirse a usuarios de bifurcaciones de VS Code como Cursor, Positron, Windsurf y VSCodium.
También se sabe que esta campaña introdujo código malicioso a través de paquetes npm y Python comprometidos. El objetivo final del ataque es proporcionar un marco de robo de datos con capacidades de recolección de credenciales, exfiltración de billeteras de criptomonedas y creación de perfiles del sistema.
Se descubrió que las iteraciones posteriores de GlassWorm implementaban un RAT JavaScript basado en websocket llamado GlassWormRAT para robar datos del navegador web y ejecutar código arbitrario, incluida la instalación de extensiones de Google Chrome que recopilan datos confidenciales como capturas de pantalla, pulsaciones de teclas y contenido del portapapeles de sistemas infectados.
«Una vez activado, el malware busca en los hosts credenciales de desarrollador (GitHub, NPM, tokens OpenVSX, billeteras criptográficas), comprometiendo potencialmente aún más los repositorios y las cargas de paquetes», dijo el investigador de Endor Labs, Kiran Raj.
«Los hosts infectados se transforman en una infraestructura encubierta de proxies SOCKS, servidores VNC (HVNC) ocultos y nodos de ejecución remota (a través de WebRTC o procesos Node.js generados). Esto brinda a los atacantes acceso anónimo a redes corporativas y personales y una plataforma para una mayor difusión».
En conjunto, esta actividad maliciosa supuestamente comprometió más de 300 repositorios de GitHub utilizando credenciales de desarrollador robadas. Lo que hizo notable esta operación fue el uso de cuatro canales C2 diferentes para mejorar la resiliencia.
«La combinación de blockchain, peer-to-peer y servicios web legítimos como capa de resolución está diseñada para ser resistente a las eliminaciones. Es un frente dinámico que protege el servidor C2 real detrás de múltiples capas de indirección», dijo CrowdStrike.
Como resultado de la eliminación, un esfuerzo coordinado desactivó los cuatro canales simultáneamente, impidiendo que las máquinas infectadas recibieran nuevas instrucciones o cargas útiles.
La firma de ciberseguridad describe a los operadores de GlassWorm como «con buenos recursos y persistentes» y cree que la actividad es probablemente obra de ciberdelincuentes con sede en Rusia, dado que el malware ha dejado de ejecutarse en sistemas ubicados en países de la Comunidad de Estados Independientes (CEI) e incluye comentarios en ruso.
«La cadena de suministro de software sigue siendo una de las superficies de ataque más críticas en la informática moderna», concluye CrowdStrike. «Los adversarios están convirtiendo la dependencia de herramientas, actualizaciones y bibliotecas organizativas en mecanismos de entrega armados y multiplicadores de fuerza».
«La barrera para contaminar paquetes y extensiones es baja, y el potencial de explosión es enorme. A menos que los entornos de desarrollo, los canales de construcción y los repositorios de código estén bien protegidos, cada organización que utiliza software hereda el riesgo de cada organización que lo crea. GlassWorm muestra que los atacantes son conscientes de esto y están invirtiendo en infraestructura resistente para mantener un acceso persistente al ecosistema de desarrolladores».
Source link
