La campaña de la cadena de suministro conocida como GlassWorm ha vuelto a levantar la cabeza, infiltrándose tanto en Microsoft Visual Studio Marketplace como en Open VSX con 24 extensiones que imitan herramientas y marcos de desarrollo populares como Flutter, React, Tailwind, Vim y Vue.
Documentado por primera vez en octubre de 2025, GlassWorm detalla el uso de la cadena de bloques Solana para comando y control (C2) y la recopilación de credenciales de npm, Open VSX, GitHub y Git, desviando tenencias de criptomonedas de docenas de billeteras y convirtiendo las máquinas de los desarrolladores en nodos controlados por atacantes para otras actividades delictivas.
El aspecto más importante de la campaña es el uso indebido de las credenciales robadas para comprometer paquetes y extensiones adicionales, propagando así el malware como un gusano. A pesar de los continuos esfuerzos de Microsoft y Open VSX, el malware surgió por segunda vez el mes pasado y se vio a los atacantes apuntando a los repositorios de GitHub.
La última ola de la campaña GlassWorm, descubierta por John Tuckner de Secure Anexo, incluye un total de 24 extensiones que abarcan ambos repositorios. La lista de extensiones identificadas se puede encontrar a continuación:
Mercado de códigos VS:
- iconkieftwo.icon-tema-material
- prisma-inc.prisma-studio-assistance (eliminado a partir del 1 de diciembre de 2025)
- más bonita-vsc.vsce-más bonita
- flutcode.flutter-extensión
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.cluster-code-verificar
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extensión
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-nativo-vsce
Abrir VSX:
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-para-reaccionar
- flutcode.flutter-extensión
- yamlcode.yaml-vscode-extensión
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalidad.solidez
Se ha descubierto que los atacantes inflan artificialmente los números de descarga para que las extensiones parezcan confiables y aparezcan de manera destacada en los resultados de búsqueda, a menudo muy cerca de los proyectos reales que se hacen pasar por ellos, para engañar a los desarrolladores para que las instalen.
“Una vez que se aprueba inicialmente la extensión, el atacante parece poder actualizar fácilmente el código con una nueva versión maliciosa y eludir fácilmente los filtros”, dijo Tuckner. “Muchas extensiones de código comienzan con un contexto de 'activación' y el código malicioso se inyecta inmediatamente después de la activación”.
Si bien todavía se basa en el truco invisible Unicode, la nueva versión se destaca por el uso de implantes basados en Rust empaquetados dentro de las extensiones. En un análisis de la extensión “icon-theme-materiall”, Nextron Systems dijo que viene con dos implantes Rust que pueden apuntar a sistemas Windows y macOS:
- Una DLL de Windows llamada os.node
- Una biblioteca dinámica de macOS llamada darwin.node
Como se observó en infecciones anteriores de GlassWorm, los implantes están diseñados para recuperar los detalles del servidor C2 de una dirección de billetera blockchain de Solana y usarlos para descargar la carga útil de la siguiente etapa, un archivo JavaScript cifrado. Como respaldo, puedes analizar un evento de Google Calendar para recuperar la dirección C2.
“Rara vez un atacante lanza más de 20 extensiones maliciosas en los dos mercados más populares en una semana”, dijo Tuckner en un comunicado. “Muchos desarrolladores se dejan engañar fácilmente por estas extensiones y están a sólo un clic de verse comprometidos”.
About The Author
