La campaña de la cadena de suministro conocida como GlassWorm ha vuelto a levantar la cabeza, infiltrándose tanto en Microsoft Visual Studio Marketplace como en Open VSX con 24 extensiones que se hacen pasar por herramientas y marcos de desarrollo populares como Flutter, React, Tailwind, Vim y Vue.
GlassWorm se documentó por primera vez en octubre de 2025, y detalla su uso de la cadena de bloques Solana para comando y control (C2) y recolectar credenciales de npm, Open VSX, GitHub y Git, drenar activos de criptomonedas de docenas de billeteras y convertir las máquinas de los desarrolladores en nodos controlados por atacantes para otras actividades delictivas.
El aspecto más crucial de la campaña es el abuso de las credenciales robadas para comprometer paquetes y extensiones adicionales, propagando así el malware como un gusano. A pesar de los continuos esfuerzos de Microsoft y Open VSX, el malware resurgió por segunda vez el mes pasado y se observó que los atacantes apuntaban a repositorios de GitHub.
La última ola de la campaña GlassWorm, detectada por John Tuckner de Secure Anexo, involucra un total de 24 extensiones que abarcan ambos repositorios. La lista de extensiones identificadas se encuentra a continuación:
Mercado de códigos VS:
- iconkieftwo.icon-tema-material
- prisma-inc.prisma-studio-assistance (eliminado a partir del 1 de diciembre de 2025)
- más bonita-vsc.vsce-más bonita
- flutcode.flutter-extensión
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.cluster-code-verificar
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extensión
- solblanco. brillante-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-nativo-vsce
Abrir VSX:
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-para-reaccionar
- flutcode.flutter-extensión
- yamlcode.yaml-vscode-extensión
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.solidez
Se ha descubierto que los atacantes inflan artificialmente los recuentos de descargas para que las extensiones parezcan confiables y hagan que aparezcan de manera destacada en los resultados de búsqueda, a menudo muy cerca de los proyectos reales que se hacen pasar para engañar a los desarrolladores para que las instalen.
«Una vez que la extensión ha sido aprobada inicialmente, el atacante parece poder actualizar fácilmente el código con una nueva versión maliciosa y evadir fácilmente los filtros», dijo Tuckner. «Muchas extensiones de código comienzan con un contexto de ‘activación’ y el código malicioso se introduce inmediatamente después de que se produce la activación».
La nueva iteración, aunque sigue basándose en el truco invisible Unicode, se caracteriza por el uso de implantes basados en Rust que están empaquetados dentro de las extensiones. En un análisis de la extensión «icon-theme-materiall», Nextron Systems dijo que viene con dos implantes Rust que son capaces de apuntar a sistemas Windows y macOS:
- Una DLL de Windows llamada os.node
- Una biblioteca dinámica de macOS llamada darwin.node
Como se observó en infecciones anteriores de GlassWorm, los implantes están diseñados para obtener detalles del servidor C2 de una dirección de billetera blockchain de Solana y usarlos para descargar la carga útil de la siguiente etapa, un archivo JavaScript cifrado. Como respaldo, pueden analizar un evento de Google Calendar para recuperar la dirección C2.
«Rara vez un atacante publica más de 20 extensiones maliciosas en los dos mercados más populares en una semana», dijo Tuckner en un comunicado. «Muchos desarrolladores podrían dejarse engañar fácilmente por estas extensiones y están a sólo un clic de verse comprometidos».