Una nueva campaña de malware ha sido detectada por los investigadores de Koi Security: bautizada como GlassWorm, se propaga mediante extensiones de Visual Studio Code y utiliza mecanismos avanzados de control y comando vía cadena de bloques.
El equipo de Koi Security ha identificado una nueva amenaza dirigida al ecosistema de desarrollo: un gusano autónomo que se propaga a través de extensiones de Visual Studio Code (VS Code). Esta campaña, bautizada como GlassWorm, representa un paso adelante en los ataques de cadena de suministro, ya que explota directamente la confianza que los desarrolladores depositan en las extensiones del editor.
El ataque se detectó por primera vez el 17 de octubre de 2025, cuando se observaron extensiones maliciosas tanto en el repositorio Open VSX como en el marketplace oficial de Microsoft. En total, se han contabilizado 14 extensiones comprometidas con más de 35.000 descargas acumuladas. Estas extensiones incluían código oculto mediante caracteres invisibles de Unicode, una técnica que dificulta su detección visual incluso para usuarios experimentados.
Una vez instalada una de las extensiones infectadas, GlassWorm busca transacciones específicas en la blockchain de Solana que contienen, en su campo de notas, una cadena codificada en base64. Esa información permite al malware descifrar la dirección de su servidor de mando y control (C2), que puede variar entre diferentes instancias alojadas en IPs de infraestructura comprometida. Si el canal de Solana no está disponible, el gusano utiliza como alternativa un sistema basado en eventos de Google Calendar para recibir instrucciones.
El componente principal del malware, denominado Zombi, es el encargado de realizar las acciones maliciosas. Entre ellas se encuentran el robo de credenciales de servicios como GitHub, NPM o Git, la instalación de un servidor VNC oculto para acceso remoto, y la configuración de un proxy SOCKS que convierte el equipo de la víctima en un nodo intermedio para actividades ilícitas. Además, puede emplear tecnologías descentralizadas como WebRTC o DHT para comunicarse sin depender de un servidor central.
Este ataque supone un cambio de paradigma: ya no se trata solo de infectar a usuarios finales, sino de comprometer a desarrolladores, quienes son la puerta de entrada a infraestructuras enteras. Al afectar directamente al entorno de desarrollo, el riesgo se multiplica, pues el código contaminado puede propagarse involuntariamente a proyectos corporativos o de código abierto.
Recomendaciones
El caso de GlassWorm refuerza la necesidad de extremar la vigilancia sobre las herramientas de desarrollo. Se recomienda auditar periódicamente las extensiones instaladas, restringir su instalación a fuentes verificadas y evitar las actualizaciones automáticas en entornos sensibles. También resulta aconsejable monitorizar las conexiones salientes desde estaciones de trabajo de desarrolladores para detectar patrones anómalos, y renovar las credenciales que puedan haberse visto comprometidas.
Finalmente, los equipos DevSecOps deberían incorporar la seguridad de la cadena de suministro de software como parte integral de sus procesos de integración y despliegue continuos (CI/CD), anticipándose a una tendencia creciente de ataques que apuntan directamente al corazón del ciclo de desarrollo.
Más información
GlassWorm: First Self-Propagating Worm Using Invisible Code Hits OpenVSX Marketplace: https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace
Self-Spreading ‘GlassWorm’ Infects VS Code Extensions in Widespread Supply Chain Attack: https://thehackernews.com/2025/10/self-spreading-glassworm-infects-vs.html
Deja una respuesta