WhatsApp y Signal bajo nuevas reglas en India, Lazarus activa reclutamiento falso y GlassWorm ataca VS Code: semana crítica en ciberseguridad
03 de December de 2025GlassWorm regresa: 24 extensiones falsas infectan Visual Studio Marketplace y Open VSX usando Solana para C2
La campaña de malware GlassWorm reapareció con fuerza tras infiltrarse nuevamente en los ecosistemas de extensiones de Visual Studio Marketplace y Open VSX, esta vez mediante 24 extensiones falsas que suplantan herramientas populares como Flutter, React, Tailwind, Vim y Vue.
La amenaza, detectada por primera vez en octubre de 2025, ha evolucionado hacia un modelo altamente sofisticado, utilizando la blockchain de Solana como canal de comando y control (C2). Su objetivo: robar credenciales de npm, GitHub, Git y drenar 49 tipos de billeteras cripto.
Los operadores detrás de GlassWorm inflan de forma artificial las descargas de sus extensiones maliciosas para aparecer junto a las legítimas y evadir los mecanismos de revisión posteriores a la publicación.
Mecánica de infección y técnicas de evasión
GlassWorm opera como un gusano orientado a desarrolladores, comprometiendo cuentas reales para empujar actualizaciones maliciosas a paquetes existentes.
Entre sus tácticas más destacadas:
-
Uso de loaders que inyectan código malicioso tras la activación de las extensiones.
-
Payloads escritos en Rust, ocultos mediante ofuscación Unicode invisible, lo que dificulta su detección en revisiones manuales.
-
Despliegue del módulo ZOMBI, un RAT avanzado que incluye SOCKS proxy, HVNC (Hidden VNC), persistencia por Registry Run keys y capacidades de movimiento lateral.
-
Explotación del sistema de auto-actualización de VS Code, permitiendo que la infección ocurra de forma silenciosa y sin interacción del usuario.
Como resultado, las máquinas comprometidas terminan funcionando como nodos proxy para actividades ilícitas, incluyendo robo de datos y operaciones de anonimización criminal.
Datos robados y alcance de la campaña
La operación prioriza la obtención de:
-
Credenciales reutilizables (npm, GitHub, Git, tokens CI/CD).
-
Información de redes internas y accesos a dashboards corporativos.
-
Claves de billeteras cripto y archivos de configuración sensibles.
GlassWorm impacta IDEs como VS Code, Cursor y Windsurf, aprovechando la confianza en extensiones open source y en la naturaleza descentralizada de los marketplaces.
Investigadores señalan que algunas extensiones de campañas previas —incluyendo ai-driven-dev y history-in-sublime-merge— siguen disponibles para descarga en algunos repositorios alternativos.
Medidas de mitigación recomendadas
Para equipos de desarrollo y seguridad, se recomienda actuar de inmediato:
-
Desactivar las auto-actualizaciones de extensiones en VS Code.
-
Auditar extensiones instaladas usando herramientas que detecten caracteres Unicode invisibles y payloads ofuscados.
-
Revisar commits y pushes recientes para identificar actividad anómala en repos Git.
-
A nivel organizacional:
-
Aislar máquinas comprometidas.
-
Revocar tokens y regenerar claves afectadas.
-
Reconstruir entornos desde imágenes limpias.
-
Bloquear la IP 217.69.3.218 y puertos UDP asociados a la campaña.
-
La reaparición de GlassWorm expone nuevamente las fallas estructurales en la cadena de suministro de software, recordando que los entornos de desarrollo son hoy uno de los vectores más rentables para los actores de amenazas avanzadas.