Campaña 'GlassWorm' infecta IDEs de desarrolladores con un nuevo 'dropper' sigiloso

Investigadores de ciberseguridad han descubierto una nueva versión de la campaña 'GlassWorm', que utiliza un 'dropper' (un tipo de malware que instala otros programas maliciosos) llamado Zig. Este 'dropper' está diseñado para infectar sigilosamente todos los entornos de desarrollo integrados (IDEs) en la máquina de un desarrollador. Esto significa que herramientas como Visual Studio Code, usadas para escribir código, podrían verse comprometidas.

Cómo funciona el ataque

El ataque se descubrió en una extensión de Open VSX llamada "specstudio.code-wakatime-activity-tracker", que se hacía pasar por WakaTime, una herramienta popular para medir el tiempo que los programadores pasan en sus IDEs. Esta extensión ya no está disponible para su descarga. La extensión contenía un archivo binario compilado con Zig, que se utilizaba como un intermediario para instalar el 'dropper' de GlassWorm. Este 'dropper' luego infecta secretamente todos los demás IDEs que encuentra en el sistema.

• El binario busca todos los IDEs compatibles con extensiones de VS Code en el sistema, incluyendo Microsoft VS Code, VS Code Insiders y otros como VSCodium, Positron, Cursor y Windsurf.
• Después, descarga una extensión maliciosa de VS Code (.VSIX) desde una cuenta de GitHub controlada por los atacantes.
• Esta extensión, llamada "floktokbok.autoimport", se hace pasar por "steoates.autoimport", una extensión legítima con millones de instalaciones.
• Finalmente, el archivo .VSIX descargado se guarda en una ruta temporal y se instala silenciosamente en cada IDE utilizando el instalador de línea de comandos del editor.

Qué hace el malware

La extensión de VS Code instalada actúa como un 'dropper' secundario. Este 'dropper' evita ejecutarse en sistemas rusos, se comunica con la cadena de bloques de Solana para obtener la dirección del servidor de comando y control (C2), extrae datos sensibles e instala un troyano de acceso remoto (RAT). Este RAT, a su vez, instala una extensión de Google Chrome para robar información.

Qué significa esto para ti

Si has instalado las extensiones "specstudio.code-wakatime-activity-tracker" o "floktokbok.autoimport", se recomienda que asumas que tu sistema está comprometido y que cambies todas tus contraseñas y claves secretas. Este ataque demuestra la importancia de ser cauteloso al instalar extensiones en tus herramientas de desarrollo y de verificar siempre la fuente y la legitimidad de las mismas.