Investigadores de ciberseguridad han revelado detalles de un ataque a la cadena de suministro dirigido al Registro Open VSX en el que actores de amenazas no identificados comprometieron los recursos de un desarrollador legítimo para enviar actualizaciones maliciosas a los usuarios intermedios.
«El 30 de enero de 2026, cuatro extensiones Open VSX establecidas publicadas por el autor de oorzc tenían versiones maliciosas publicadas en Open VSX que incorporaban el cargador de malware GlassWorm», dijo el investigador de seguridad de Socket Kirill Boychenko. dicho en un informe del sábado.
«Estas extensiones se habían presentado anteriormente como utilidades legítimas para desarrolladores (algunas se publicaron por primera vez hace más de dos años) y en conjunto acumularon más de 22.000 descargas de Open VSX antes de los lanzamientos maliciosos».
La empresa de seguridad de la cadena de suministro. dicho que el ataque a la cadena de suministro implicó el compromiso de las credenciales de publicación del desarrollador, y el equipo de seguridad de Open VSX evaluó que el incidente involucraba el uso de un token filtrado u otro acceso no autorizado. Desde entonces, las versiones maliciosas se han eliminado de Open VSX.
La lista de extensiones identificadas se encuentra a continuación:
- Herramienta de sincronización FTP/SFTP/SSH (oorzc.ssh-tools – versión 0.5.1)
- Herramientas I18n (oorzc.i18n-tools-plus – versión 1.6.8)
- Mapa mental vscode (oorzc.mind-map – versión 1.0.61)
- scss a css (oorzc.scss-to-css-compile – versión 1.3.4)
Las versiones envenenadas, señaló Socket, están diseñadas para entregar un cargador de malware asociado con una campaña conocida llamada gusano de cristal. El cargador está equipado para descifrar y ejecutarse integrado en tiempo de ejecución, utiliza una técnica cada vez más utilizada como arma llamada EtherHiding para recuperar puntos finales de comando y control (C2) y, en última instancia, ejecutar código diseñado para robar credenciales de Apple macOS y datos de billeteras de criptomonedas.
Al mismo tiempo, el malware se detona solo después de que se ha perfilado la máquina comprometida y se ha determinado que no corresponde a una ubicación rusa, un patrón comúnmente observado en programas maliciosos que se originan o están afiliados a actores de amenazas de habla rusa para evitar procesamientos nacionales.
Los tipos de información recopilada por el malware incluyen:
- Datos de Mozilla Firefox y navegadores basados en Chromium (inicios de sesión, cookies, historial de Internet y extensiones de billetera como MetaMask)
- Archivos de billetera de criptomonedas (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance y TonKeeper)
- Base de datos de llaveros de iCloud
- galletas de safari
- Datos de notas de Apple
- documentos de usuario de las carpetas Escritorio, Documentos y Descargas
- Archivos de configuración de FortiClient VPN
- Credenciales de desarrollador (p. ej., ~/.aws y ~/.ssh)
El objetivo de la información de los desarrolladores plantea graves riesgos, ya que expone los entornos empresariales a posibles ataques de movimiento lateral y compromiso de cuentas en la nube.
«La carga útil incluye rutinas para localizar y extraer material de autenticación utilizado en flujos de trabajo comunes, incluida la inspección de la configuración de npm para _authToken y la referencia a artefactos de autenticación de GitHub, que pueden proporcionar acceso a repositorios privados, secretos de CI y automatización de lanzamiento», dijo Boychenko.
Un aspecto importante del ataque es que se diferencia de los indicadores GlassWorm observados anteriormente en que utiliza una cuenta comprometida que pertenece a un desarrollador legítimo para distribuir el malware. En casos anteriores, los actores de amenazas detrás de la campaña han aprovechado la typosquatting y el brandjacking para cargar extensiones fraudulentas para su posterior propagación.
«El actor de amenazas se integra en los flujos de trabajo normales de los desarrolladores, oculta la ejecución detrás de cargadores cifrados y descifrados en tiempo de ejecución y utiliza memorandos de Solana como un punto muerto dinámico para rotar la infraestructura de prueba sin volver a publicar extensiones», dijo Socket. «Estas opciones de diseño reducen el valor de los indicadores estáticos y desplazan la ventaja del defensor hacia la detección de comportamiento y la respuesta rápida».
Fuente