Los investigadores de ciberseguridad han publicado un nuevo conjunto de tres extensiones relacionadas con la campaña GlassWorm. Esto marca un intento continuo por parte de algunos actores de amenazas de atacar el ecosistema de Visual Studio Code (VS Code).
La extensión en cuestión todavía está disponible para descargar y se enumera a continuación.
GlassWorm, documentado por primera vez por Koi Security a fines del mes pasado, se refiere a una campaña en la que los atacantes aprovecharon el registro Open VSX y las extensiones VS Code del Microsoft Extension Marketplace para recolectar credenciales Open VSX, GitHub y Git, exfiltrar fondos de 49 extensiones diferentes de billeteras de criptomonedas y soltar herramientas adicionales para acceso remoto.
Lo notable de este malware es que utiliza caracteres Unicode invisibles para ocultar su código malicioso en el editor de código y explota credenciales robadas para comprometer extensiones adicionales, creando efectivamente un ciclo autorreplicante que puede expandir aún más su alcance y propagarse en forma de gusano.
En respuesta a los hallazgos, Open VSX anunció que, a partir del 21 de octubre de 2025, identificó y eliminó todas las extensiones maliciosas y rotó o revocó los tokens asociados. Sin embargo, un nuevo informe de Koi Security muestra que esta amenaza ha resurgido nuevamente, utilizando el mismo truco invisible de ofuscación de caracteres Unicode para evadir la detección.
«El atacante publicó una nueva transacción en la cadena de bloques de Solana y proporcionó un punto final C2 (comando y control) actualizado para descargar la carga útil de la siguiente etapa», dijeron los investigadores de seguridad Idan Durdikman, Yuval Ronen y Lotan Sery.
«Esto muestra la resistencia de la infraestructura C2 basada en blockchain. Incluso si el servidor de carga útil falla, un atacante puede publicar una nueva transacción por tan solo un centavo, y todas las máquinas infectadas obtienen automáticamente una nueva ubicación».
El proveedor de seguridad también reveló que había identificado puntos finales que supuestamente fueron expuestos accidentalmente en los servidores del atacante y reveló una lista parcial de víctimas en Estados Unidos, Sudamérica, Europa y Asia. Esto incluye a las principales agencias gubernamentales de Medio Oriente.
Un análisis más detallado reveló información del keylogger que parece provenir de la propia máquina del atacante, proporcionando algunas pistas sobre los orígenes de GlassWorm. Se cree que el atacante habla ruso y se dice que utiliza un marco C2 de extensión de navegador de código abierto llamado RedExt como parte de su infraestructura.
«Estas pueden ser organizaciones reales o personas reales cuyas credenciales han sido recopiladas, cuyas máquinas pueden estar actuando como una infraestructura proxy criminal y cuyas redes internas pueden haber sido comprometidas», dijo Koi Security.
Este desarrollo se produce poco después de que Aikido Security publicara una investigación que muestra que GlassWorm ha ampliado su objetivo a GitHub y que las credenciales robadas de GitHub se están utilizando para enviar confirmaciones maliciosas a los repositorios.
Source link
