Redazione RHC : 21 octubre 2025 22:39
Investigadores de Koi Security han detectado un ataque a la cadena de suministro mediante OpenVSX y Visual Studio Code Marketplace . Hackers están distribuyendo malware autorreplicante llamado GlassWorm, que ya se ha instalado aproximadamente 35.800 veces.
Los expertos han descubierto al menos once extensiones infectadas con GlassWorm en OpenVSX y una en Visual Studio Code Marketplace:
El malware oculta su código malicioso mediante caracteres Unicode invisibles. Además, GlassWorm tiene una funcionalidad similar a la de un gusano y puede propagarse de forma independiente: usando las credenciales robadas de la víctima, infecta otras extensiones a las que esta tiene acceso.
Los atacantes utilizan la cadena de bloques Solana para controlar su botnet, utilizando Google Calendar como canal de comunicación de respaldo.
Una vez instalado, el malware intenta robar credenciales de cuentas de GitHub, npm y OpenVSX, así como datos de monederos de criptomonedas de 49 extensiones diferentes. GlassWorm también implementa un proxy SOCKS para dirigir el tráfico malicioso a través del ordenador de la víctima e instala un cliente VNC (HVNC) para acceso remoto oculto.
El código del gusano incluye una dirección de billetera con transacciones en la blockchain de Solana, que contienen enlaces codificados en base64 a las cargas útiles para la siguiente etapa del ataque. El uso de la blockchain para ocultar cargas útiles está ganando popularidad entre los delincuentes debido a sus numerosas ventajas operativas: resistencia a los bloques, anonimato, bajos costos y flexibilidad para las actualizaciones.
Según los investigadores, la carga útil final de este ataque se denomina ZOMBI y consiste en código JavaScript altamente ofuscado que convierte los sistemas infectados en miembros de una botnet. El método de descarga de la carga útil alternativa funciona mediante nombres de eventos de Google Calendar, que contienen una URL codificada en base64. El tercer método de distribución utiliza una conexión directa a una dirección IP controlada por el atacante (217.69.3[.]218).
Para garantizar una mayor ofuscación y persistencia, el malware utiliza la tabla hash distribuida (DHT) de BitTorrent y la distribución de comandos descentralizada.
Esta situación es particularmente grave porque las extensiones de VS Code se actualizan automáticamente. Cuando CodeJoy lanzó la versión 1.8.3 con malware invisible, todos los usuarios que lo tenían instalado se infectaron automáticamente. Sin interacción del usuario. Sin advertencias. Una infección silenciosa y automática, señalan los investigadores.
Al momento de la publicación del informe de Koi Security, al menos cuatro extensiones comprometidas aún estaban disponibles para su descarga en OpenVSX, y Microsoft retiró la extensión maliciosa de su marketplace tras ser alertado por investigadores. Se informa también que los desarrolladores de vscode-theme-seti-folder y git-worktree-menu actualizaron sus extensiones y eliminaron el código malicioso.
Cabe destacar que el mes pasado, un ataque similar del gusano Shai-Hulud afectó el ecosistema npm, comprometiendo 187 paquetes. El malware utilizó el escáner TruffleHog para encontrar secretos, contraseñas y claves.
Koi Security califica a GlassWorm como » uno de los ataques a la cadena de suministro más sofisticados» y el primer caso documentado de un ataque de gusano contra VS Code. Los expertos advierten que los servidores de comando y control y los servidores de carga útil de GlassWorm siguen activos y que la campaña podría continuar.
RedazioneOpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...
El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...
El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...
Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...
