Alerta Máxima: VS Code, YouTube y tu celular están bajo ataque AHORA
27 de October de 2025GlassWorm: el gusano que se infiltra en extensiones de VS Code y amenaza la cadena de suministro de software
Una nueva amenaza a la cadena de suministro está creciendo silenciosamente en el corazón del desarrollo moderno. Investigadores han identificado GlassWorm, un gusano auto-propagable que infecta extensiones de Visual Studio Code, tanto en el Microsoft Extension Marketplace como en el Open VSX Registry, afectando directamente al ecosistema DevOps.
El hallazgo llega apenas un mes después del ataque de Shai-Hulud, el gusano que impactó el ecosistema npm en septiembre de 2025. La rápida sucesión de incidentes muestra la creciente atención del cibercrimen hacia los entornos de desarrollo y los canales oficiales de distribución de software.
Un gusano diseñado para pasar desapercibido
GlassWorm oculta parte de su código mediante el uso de selectores de variación Unicode: caracteres invisibles incrustados en archivos fuente que hacen que el malware sea extremadamente difícil de detectar, incluso en revisiones manuales.
Su presencia puede permanecer indetectable durante semanas o meses, mientras continúa propagándose a nuevas extensiones y equipos de desarrollo.
Infraestructura distribuida y resiliente
Además del mecanismo de infección, destaca la sofisticada infraestructura de comando y control (C2) que utiliza GlassWorm:
-
Distribución del C2 a través de la blockchain Solana, dificultando su bloqueo o desmantelamiento.
-
Un canal de respaldo mediante Google Calendar, que garantiza la comunicación con máquinas comprometidas aun cuando el C2 principal sea interrumpido.
Estos elementos convierten a GlassWorm en una amenaza persistente, capaz de resistir intentos de erradicación.
Robo de credenciales y control remoto
El gusano tiene objetivos bien definidos:
✅ Credenciales de desarrolladores y plataformas clave
-
npm
-
GitHub
-
Git
-
Open VSX Registry
✅ Fondos de criptomonedas
Se han identificado afectaciones en 49 extensiones de billeteras cripto.
✅ Control remoto encubierto
Instala proxies SOCKS y servicios VNC ocultos, convirtiendo los equipos víctimas en nodos para actividades ilícitas.
Hasta ahora, se han detectado 13 extensiones comprometidas y más de 35,800 descargas desde la primera oleada registrada el 17 de octubre de 2025. No está claro cómo se produjo la intrusión inicial.
Un mensaje claro para la industria
GlassWorm no apunta al usuario común.
Apunta a quienes construyen software, administran infraestructura y mantienen servicios críticos.
La cadena de suministro vuelve a demostrar su fragilidad: comprometer una dependencia puede abrir la puerta a miles de entornos corporativos. Y en un mercado donde la entrega continua es esencial, los atacantes se aprovechan de la confianza implícita que reina en los repositorios oficiales.
Recomendaciones para mitigar riesgos
Las organizaciones deberían:
-
Auditar sus extensiones de VS Code instaladas y eliminar las que no sean esenciales.
-
Implementar controles de seguridad para la cadena de suministro (escáneres SCA/SBOM).
-
Establecer monitoreo de comportamiento anómalo en credenciales y repositorios.
-
Reforzar políticas de administración de tokens y rotación periódica de claves.
La seguridad del software empieza en el escritorio del desarrollador.
GlassWorm es un recordatorio de que el entorno de desarrollo ya es un vector prioritario para los atacantes. A medida que DevOps acelera, también lo hace el cibercrimen. Hoy son extensiones de VS Code; mañana, cualquier herramienta integrada en el pipeline.