Underc0de - La Casa de los Informáticos

Una nueva campaña de ciberataques dirigida a desarrolladores ha encendido las alarmas en la comunidad tecnológica. Investigadores han identificado decenas de extensiones maliciosas en el repositorio Open VSX Registry que están vinculadas a una operación de robo de información conocida como GlassWorm v2, una evolución sofisticada de ataques a la cadena de suministro que aprovecha la confianza en herramientas ampliamente utilizadas como Visual Studio Code.

GlassWorm v2: una amenaza silenciosa en VS Code

De acuerdo con el análisis publicado por Socket, se han identificado al menos 73 extensiones sospechosas, de las cuales seis han sido confirmadas como directamente maliciosas. Estas extensiones son clones casi idénticos de paquetes legítimos, replicando nombres, iconos y descripciones para engañar a los usuarios.

Entre las extensiones confirmadas como maliciosas se encuentran:

• outstormcommand.monochromator-theme
• keyacrosslaud.auto-loop-para-antigravedad
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-valide
• winnerdomain17.version-lens-tool

El resto de los paquetes actúa como "sleepers" o extensiones durmientes, diseñadas para parecer inofensivas en un primer momento. Su objetivo es generar confianza, acumular descargas y posteriormente introducir código malicioso mediante actualizaciones.

Ingeniería social y typosquatting: claves del engaño

Uno de los aspectos más peligrosos de esta campaña es el uso combinado de técnicas de ingeniería social y typosquatting. Los atacantes crean nombres casi idénticos a los originales, como en el caso de paquetes similares a extensiones legítimas, y reutilizan elementos visuales para reforzar la ilusión de autenticidad.

Este enfoque, conocido como "confianza visual", incrementa significativamente las probabilidades de instalación por parte de desarrolladores desprevenidos. Al ver una extensión con apariencia legítima en Open VSX Registry, muchos usuarios no cuestionan su autenticidad, especialmente si ya cuenta con descargas previas.

Evolución del ataque: de extensiones a malware persistente

La campaña GlassWorm no se limita a distribuir extensiones maliciosas. Según Socket, los atacantes han evolucionado su estrategia para incluir:

• Dependencias transitivas maliciosas
• Paquetes durmientes que se activan posteriormente
• Droppers desarrollados en el lenguaje Zig

Estos droppers permiten descargar e instalar una segunda carga útil desde repositorios en GitHub, lo que complica la detección inicial y amplía el alcance del ataque.

Cómo funciona el ataque: cadena de infección

El mecanismo de infección es particularmente sofisticado:

• El usuario instala una extensión aparentemente legítima en Visual Studio Code
• La extensión actúa como un cargador (loader) sin levantar sospechas
• Se descarga una extensión VSIX maliciosa desde GitHub
• La carga útil se instala automáticamente en múltiples entornos de desarrollo

Entre los IDE afectados se encuentran:

• Visual Studio Code
• Cursor
• Windsurf
• VSCodium

La instalación se realiza mediante el comando --install-extension, lo que permite que el malware se propague silenciosamente en todo el entorno de desarrollo del usuario.

Objetivos del malware: robo de datos y control remoto

El objetivo final de GlassWorm v2 es comprometer completamente el entorno del desarrollador. Entre sus capacidades destacan:

Robo de información sensible

• Credenciales de acceso
• Tokens de autenticación
• Datos de proyectos
• Configuraciones de desarrollo

Instalación de malware adicional

El ataque incluye la implementación de un RAT (Remote Access Trojan), que permite a los atacantes controlar remotamente el sistema infectado.

Extensión maliciosa basada en Chromium

El malware también despliega una extensión fraudulenta en navegadores basados en Chromium, diseñada para extraer:

• Credenciales guardadas
• Marcadores
• Historial de navegación

Curiosamente, el malware incluye mecanismos para evitar la ejecución en sistemas ubicados en Rusia, una característica común en campañas cibercriminales para evadir persecución local.

JavaScript ofuscado y evasión de detección

Otro elemento clave del ataque es el uso de JavaScript altamente ofuscado, que oculta la lógica maliciosa y dificulta su análisis por herramientas de seguridad.

Según Socket, este enfoque permite mantener la carga útil fuera del paquete inicial, reduciendo las probabilidades de detección durante revisiones automatizadas.

En lugar de incluir directamente el malware, la extensión actúa como intermediaria, descargando y ejecutando el código malicioso solo después de su instalación.

Impacto en la cadena de suministro de software

Este incidente refuerza una tendencia preocupante: los ataques dirigidos a la cadena de suministro de software están aumentando en frecuencia y sofisticación. Herramientas como Visual Studio Code se han convertido en objetivos prioritarios debido a su adopción masiva.

El hecho de que más de 320 artefactos relacionados con GlassWorm hayan sido identificados desde diciembre de 2025 demuestra la persistencia y escala de la campaña.

Recomendaciones de seguridad para desarrolladores

Para mitigar riesgos asociados a este tipo de amenazas, se recomienda:

Verificación de extensiones

• Instalar solo extensiones de desarrolladores verificados
• Revisar reseñas y número de descargas

Control de dependencias

• Auditar paquetes y dependencias regularmente
• Evitar instalaciones automáticas sin revisión

Seguridad en entornos de desarrollo

• Utilizar soluciones de seguridad especializadas
• Monitorear actividad sospechosa en IDEs

Buenas prácticas

• Evitar confiar únicamente en la apariencia visual
• Mantener actualizado el software
• Implementar autenticación multifactor

En fin...

La campaña GlassWorm v2 representa una amenaza crítica para desarrolladores y organizaciones que dependen de herramientas modernas de desarrollo. La combinación de ingeniería social, evasión avanzada y distribución a través de repositorios confiables como Open VSX Registry demuestra que los atacantes están explotando cada vez más la confianza en el ecosistema de código abierto.

En un entorno donde la automatización y la velocidad son esenciales, la seguridad no puede ser una opción secundaria. La vigilancia constante y la adopción de prácticas seguras son fundamentales para evitar convertirse en la próxima víctima.

Fuente: https://thehackernews.com/