Investigadores en ciberseguridad han identificado una nueva ola de ataques vinculada al malware GlassWorm, que compromete tres extensiones de Visual Studio Code (VS Code) con miles de instalaciones activas. Este hallazgo revela la persistencia de los atacantes en aprovechar el ecosistema de desarrollo de Microsoft como vía de infección.

Las extensiones afectadas, aún disponibles en línea al momento del informe, son:

  • desarrollo impulsado por IA.desarrollo impulsado por IA (3.402 descargas)
  • adhamu.history-in-sublime-merge (4.057 descargas)
  • yasuyuky.transient-emacs (2.431 descargas)

Según Koi Security, GlassWorm —detectado originalmente a finales de octubre— utiliza extensiones maliciosas publicadas en los marketplaces de VS Code y Open VSX para robar credenciales de GitHub, Open VSX y Git, además de drenar fondos de extensiones de criptomonedas y desplegar herramientas de acceso remoto.

Una de sus técnicas más sofisticadas consiste en insertar caracteres Unicode invisibles dentro del código, lo que le permite ocultar rutinas maliciosas sin ser detectado visualmente en el editor. Este método facilita la propagación del malware a nuevas extensiones, generando un comportamiento similar a un gusano autorreplicante.

Tras los primeros reportes, Open VSX afirmó haber eliminado las extensiones afectadas y revocado los tokens comprometidos desde el 21 de octubre. Sin embargo, Koi Security advirtió que la campaña ha resurgido, reutilizando la misma técnica de ofuscación para evadir controles de seguridad.

Los investigadores Idan Dardikman, Yuval Ronen y Lotan Sery señalaron además que el atacante actualizó su infraestructura C2 (comando y control) mediante una transacción en la blockchain de Solana, permitiendo mantener la conexión con los equipos infectados incluso si los servidores originales eran bloqueados.

Durante el análisis, los expertos también hallaron un servidor mal configurado del atacante, que contenía una lista parcial de víctimas en EE. UU., Sudamérica, Europa y Asia, incluyendo una agencia gubernamental en Oriente Medio.
El estudio sugiere que los responsables serían de habla rusa, y que utilizan la herramienta de código abierto RedExt como marco C2 para coordinar los ataques.

Koi Security advirtió:

“Estas víctimas no son solo direcciones IP: son empresas e individuos cuyas credenciales han sido robadas y cuyos sistemas podrían estar funcionando como infraestructura criminal.”

Los hallazgos coinciden con un informe de Aikido Security, que detectó la expansión de GlassWorm hacia repositorios GitHub, donde los atacantes usan credenciales robadas para insertar commits maliciosos.

https://thehackernews[.]com/

You May Also Like

“¡Filtración Masiva! Dos Millones Afectados por Brecha de Seguridad en Aplicación de Aprendizaje”

HKN FEED

Microsoft deja de dar soporte a Internet Explorer

wpadmin001

¡2.5 Millones de Datos de LinkedIn Expuestos! Cómo Blindar tu Perfil y Defenderte contra Ataques de Ingeniería Social

HKN FEED