Redazione RHC : 21 octubre 2025 22:39
Investigadores de Koi Security han detectado un ataque a la cadena de suministro mediante OpenVSX y Visual Studio Code Marketplace . Hackers están distribuyendo malware autorreplicante llamado GlassWorm, que ya se ha instalado aproximadamente 35.800 veces.
Los expertos han descubierto al menos once extensiones infectadas con GlassWorm en OpenVSX y una en Visual Studio Code Marketplace:
El malware oculta su código malicioso mediante caracteres Unicode invisibles. Además, GlassWorm tiene una funcionalidad similar a la de un gusano y puede propagarse de forma independiente: usando las credenciales robadas de la víctima, infecta otras extensiones a las que esta tiene acceso.
Los atacantes utilizan la cadena de bloques Solana para controlar su botnet, utilizando Google Calendar como canal de comunicación de respaldo.
Una vez instalado, el malware intenta robar credenciales de cuentas de GitHub, npm y OpenVSX, así como datos de monederos de criptomonedas de 49 extensiones diferentes. GlassWorm también implementa un proxy SOCKS para dirigir el tráfico malicioso a través del ordenador de la víctima e instala un cliente VNC (HVNC) para acceso remoto oculto.
El código del gusano incluye una dirección de billetera con transacciones en la blockchain de Solana, que contienen enlaces codificados en base64 a las cargas útiles para la siguiente etapa del ataque. El uso de la blockchain para ocultar cargas útiles está ganando popularidad entre los delincuentes debido a sus numerosas ventajas operativas: resistencia a los bloques, anonimato, bajos costos y flexibilidad para las actualizaciones.
Según los investigadores, la carga útil final de este ataque se denomina ZOMBI y consiste en código JavaScript altamente ofuscado que convierte los sistemas infectados en miembros de una botnet. El método de descarga de la carga útil alternativa funciona mediante nombres de eventos de Google Calendar, que contienen una URL codificada en base64. El tercer método de distribución utiliza una conexión directa a una dirección IP controlada por el atacante (217.69.3[.]218).
Para garantizar una mayor ofuscación y persistencia, el malware utiliza la tabla hash distribuida (DHT) de BitTorrent y la distribución de comandos descentralizada.
Esta situación es particularmente grave porque las extensiones de VS Code se actualizan automáticamente. Cuando CodeJoy lanzó la versión 1.8.3 con malware invisible, todos los usuarios que lo tenían instalado se infectaron automáticamente. Sin interacción del usuario. Sin advertencias. Una infección silenciosa y automática, señalan los investigadores.
Al momento de la publicación del informe de Koi Security, al menos cuatro extensiones comprometidas aún estaban disponibles para su descarga en OpenVSX, y Microsoft retiró la extensión maliciosa de su marketplace tras ser alertado por investigadores. Se informa también que los desarrolladores de vscode-theme-seti-folder y git-worktree-menu actualizaron sus extensiones y eliminaron el código malicioso.
Cabe destacar que el mes pasado, un ataque similar del gusano Shai-Hulud afectó el ecosistema npm, comprometiendo 187 paquetes. El malware utilizó el escáner TruffleHog para encontrar secretos, contraseñas y claves.
Koi Security califica a GlassWorm como » uno de los ataques a la cadena de suministro más sofisticados» y el primer caso documentado de un ataque de gusano contra VS Code. Los expertos advierten que los servidores de comando y control y los servidores de carga útil de GlassWorm siguen activos y que la campaña podría continuar.
RedazioneEl quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación d...
Las operaciones psicológicas, comúnmente conocidas como PsyOps, constituyen un elemento significativo y a menudo poco comprendido de la estrategia militar y de seguridad . Estas operaciones implican...
En el mundo de la ciberseguridad, los cortafuegos constituyen la primera línea de defensa contra las ciberamenazas y los ciberataques. Diariamente, empresas y usuarios domésticos se exponen a riesgo...
Fortinet ha confirmado el descubrimiento de una vulnerabilidad crítica de ruta relativa (CWE-23) en dispositivos FortiWeb, identificada como CVE-2025-64446 y registrada como número IR FG-IR-25-910 ....
Los XV Juegos Nacionales de China se inauguraron con un espectáculo que combinó deporte y tecnología. Entre los aspectos más destacados se encontraban robots capaces de tocar antiguos instrumentos...
