- Reaparición de GlassWorm con tres extensiones maliciosas en Open VSX que afectan a VS Code.
- Uso de caracteres Unicode invisibles y C2 dinámico mediante transacciones en Solana.
- Robo de credenciales (GitHub, Open VSX y Git) y vaciado de 49 extensiones de carteras cripto.
- Impacto global con víctimas en Europa y recomendaciones prácticas para desarrolladores y empresas.
La campaña de malware GlassWorm vuelve a la carga en el ecosistema de Visual Studio Code con una nueva tanda de extensiones maliciosas que, a fecha reciente de investigación, seguían disponibles para su descarga en Open VSX. La operación combina técnicas de ofuscación con Unicode invisible y una infraestructura de mando y control que se actualiza a través de transacciones en la cadena de bloques de Solana.
Tras una primera purga en octubre, cuando Open VSX retiró extensiones maliciosas y rotó o revocó tokens comprometidos, el mismo actor ha reaparecido con nuevos artefactos, apuntando de nuevo a los desarrolladores. El objetivo incluye el robo de credenciales de GitHub, Open VSX y Git, además del vaciado de fondos de 49 extensiones de carteras de criptomonedas y la instalación de utilidades para acceso remoto.
Qué es GlassWorm y cómo se infiltra en el ecosistema de VS Code
GlassWorm es una campaña que aprovecha extensiones de Visual Studio Code tanto en el Microsoft Marketplace como en el registro Open VSX para introducir código malicioso. Su rasgo distintivo es el uso de caracteres Unicode invisibles que no se aprecian a simple vista en el editor, pero que permiten ejecutar JavaScript embebido dentro de extensiones que parecen legítimas.
El malware no se limita a robar información: también busca autopropagarse en modo «gusano», comprometiendo cuentas y proyectos adicionales con las credenciales sustraídas. Con ello, amplía su alcance publicando nuevas versiones de extensiones, insertando puertas traseras y desplegando herramientas de acceso remoto y registro de teclas en los equipos afectados.
Otra vertiente especialmente sensible de GlassWorm es el saqueo de carteras de criptomonedas a través de decenas de extensiones asociadas a wallets. Esta combinación de robo de identidades de desarrollador, manipulación de repositorios y ataque a activos financieros convierte la campaña en un riesgo notable para equipos técnicos y organizaciones europeas.
La nueva oleada: extensiones implicadas y alcance
Según el seguimiento independiente de varios equipos, el actor ha regresado a Open VSX con tres extensiones que comparten la misma ofuscación con Unicode oculto y el mismo método de actualización del C2 por Solana. En conjunto, superan con holgura las 10.000 descargas, un volumen que podría estar inflado por el propio atacante para ganar credibilidad.
- ai-driven-dev.ai-driven-dev
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
A pesar de que Open VSX introdujo defensas tras el primer incidente, estas tres extensiones han logrado esquivarlas mediante las mismas técnicas de ocultación. En el momento en que se publicó el último análisis, seguían disponibles en el registro, lo que subraya la necesidad de reforzar controles y de que los usuarios revisen sus entornos.
Infraestructura del ataque y atribución
El operador de GlassWorm actualiza sus direcciones de comando y control publicando transacciones baratas en la red Solana. Este enfoque aporta resiliencia: si un servidor de carga útil cae, basta con emitir una nueva transacción para que los equipos infectados obtengan la ubicación actualizada de forma automática.
Una exposición accidental de un endpoint del servidor del atacante permitió recopilar una lista parcial de víctimas con presencia en Estados Unidos, Sudamérica, Europa y Asia, incluyendo una entidad gubernamental de Oriente Medio. Aunque no se han detallado organizaciones españolas concretas, el alcance europeo sugiere que equipos en la UE pueden estar en el punto de mira.
El análisis forense también recuperó registros de keylogger del propio operador, lo que aporta indicios de que el responsable es de habla rusa y emplea el marco abierto RedExt como parte de su infraestructura de C2 basada en navegador. Estas piezas encajan con un actor que combina técnica, persistencia y capacidad de adaptación.
Cronología de la campaña y plataformas afectadas
GlassWorm se documentó por primera vez a finales de octubre, con una docena de extensiones en los marketplaces de VS Code y Open VSX que acumularon en torno a decenas de miles de descargas (cifra probablemente inflada). A raíz de ese golpe inicial, Open VSX retiró lo detectado y rotó o revocó tokens asociados el 21 de octubre.
Lejos de frenar, el actor pivotó hacia GitHub, empleando credenciales robadas para empujar commits maliciosos a repositorios. Semanas después, regresó al registro de Open VSX con las tres extensiones citadas, extendiendo la campaña a múltiples frentes que incluyen GitHub, NPM y Open VSX. Investigadores han contabilizado al menos 60 víctimas distintas en un listado parcial, lo que sugiere que el impacto real podría ser mayor.
Medidas de mitigación y recomendaciones para Europa y España
Para equipos de desarrollo: revisar el inventario de extensiones instaladas en VS Code, desinstalar las sospechosas y verificar el editor de Open VSX/Microsoft para comprobar el estado del publicador. Conviene fijarse en nombres similares o suplantados, valoraciones atípicas y cambios recientes del mantenedor.
En cuanto a credenciales, es recomendable rotar tokens y claves de GitHub/Open VSX/Git, revocar PATs no usados, activar 2FA y revisar claves SSH. Las organizaciones deberían reforzar políticas de firma y revisión de cambios (branch protection, revisiones obligatorias) y monitorizar integridad en pipelines CI/CD.
Para reducir la superficie de riesgo, habilitar en el editor la visualización de caracteres invisibles, aplicar linters y reglas de seguridad que detecten Unicode sospechoso, y fijar versiones (pinning) de dependencias y extensiones críticas. Evitar instalar extensiones desde enlaces compartidos o fuentes no verificadas.
Si se sospecha compromiso: aislar equipos, revocar sesiones activas en proveedores, auditar repositorios y secretos, y notificar al registro/marketplace y a las fuerzas de seguridad. En la UE, evaluar obligaciones de notificación bajo el RGPD y NIS2 cuando proceda, y coordinar la comunicación con los afectados.
La evolución de GlassWorm demuestra la capacidad de los atacantes para rearmarse y volver con nuevas extensiones y canales de C2 resilientes. Para el tejido tecnológico europeo, la prioridad pasa por reforzar controles en los entornos de desarrollo, endurecer la gestión de credenciales y elevar la vigilancia sobre extensiones y repositorios, evitando caer en la falsa sensación de seguridad tras una retirada puntual.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.