Investigadores de ciberseguridad han descubierto un helminto autopropagante que se propaga a través de extensiones de Visual Studio Code (VS Code) en Open VSX Registry y Microsoft Extension Marketplace, lo que subraya cómo los desarrolladores se han convertido en un objetivo principal para los ataques.
La sofisticada amenaza, cuyo nombre en código helminto de cristal de Koi Security, es el segundo ataque de este tipo a la esclavitud de suministro que afecta al espacio DevOps en un gazapo de un mes a posteriori del helminto Shai-Hulud que atacó el ecosistema npm a mediados de septiembre de 2025.
Lo que hace que el ataque se destaque es el uso de la esclavitud de bloques Solana para comando y control (C2), lo que hace que la infraestructura sea resistente a los esfuerzos de exterminio. Igualmente utiliza Google Calendar como mecanismo periódico de C2.
Otro aspecto novedoso es que la campaña GlassWorm se plinto en «caracteres Unicode invisibles que hacen que el código solapado fielmente desaparezca de los editores de código», dijo Idan Dardikman en un documentación técnico. «El atacante utilizó selectores de variación Unicode: caracteres especiales que forman parte de la precisión Unicode pero que no producen ningún resultado visual».
El objetivo final del ataque es cosechar credenciales de npm, Open VSX, GitHub y Git, drenar fondos de 49 extensiones diferentes de billeteras de criptomonedas, implementar servidores proxy SOCKS para convertir las máquinas de los desarrolladores en conductos para actividades delictivas, instalar servidores VNC (HVNC) ocultos para comunicación remoto y convertir las credenciales robadas en armas para comprometer paquetes y extensiones adicionales para uso futuro. propagación.
Los nombres de las extensiones infectadas, 13 de ellas en Open VSX y una en Microsoft Extension Marketplace, se enumeran a continuación. Estas extensiones se han descargado unas 35.800 veces. La primera ola de infecciones tuvo oficio el 17 de octubre de 2025. Actualmente no se sabe cómo se secuestraron estas extensiones.
- codejoy.codejoy-vscode-extensión 1.8.3 y 1.8.4
- l-igh-t.vscode-theme-seti-carpeta 1.2.3
- kleinefilmroellchen.serenity-dsl-syntaxhighlight 0.3.2
- JScearcy.rust-doc-viewer 4.2.1
- SIRILMP.tema-oscuro-sm 3.11.4
- CodeInKlingon.git-worktree-menu 1.0.9 y 1.0.91
- ginfuru.better-nunjucks 0.3.2
- ellacrity.recoil 0.7.4
- grrrck.positron-plus-1-e 0.0.71
- jeronimoekerdt.color-picker-universal 2.8.91
- colores-srcery.colores-srcery 0.3.9
- sissel.shopify-líquido 4.0.1
- TretinV3.forts-api-extensión 0.3.1
- cline-ai-main.cline-ai-agent 3.1.3 (Mercado de extensiones de Microsoft)
El código solapado oculto adentro de las extensiones está diseñado para agenciárselas transacciones asociadas con una billetera controlada por un atacante en la esclavitud de bloques de Solana y, si la encuentra, procede a extraer una esclavitud codificada en Base64 del campo memo que decodifica en el servidor C2 («217.69.3(.)218» o «199.247.10(.)166») utilizado para recuperar la carga útil de la sucesivo etapa.
La carga útil es un descuidero de información que captura credenciales, tokens de autenticación y datos de billeteras de criptomonedas, y llega a un evento de Google Calendar para analizar otra esclavitud codificada en Base64 y comunicarse con el mismo servidor para obtener una carga útil con nombre en código Zombi. Los datos se extraen a un punto final remoto («140.82.52(.)31:80») administrado por el actor de la amenaza.
Escrito en JavaScript, el módulo Zombi esencialmente convierte una infección GlassWorm en un compromiso completo al eliminar un proxy SOCKS, módulos WebRTC para comunicación entre pares, Distributed Hash Table (DHT) de BitTorrent para distribución descentralizada de comandos y HVNC para control remoto.
El problema se ve agravado por el hecho de que las extensiones de VS Code están configuradas para actualizarse automáticamente, lo que permite a los actores de amenazas despachar el código solapado automáticamente sin requerir ninguna interacción del agraciado.
«Este no es un ataque puntual a la esclavitud de suministro», dijo Dardikman. «Es un helminto diseñado para propagarse por el ecosistema de desarrolladores como la pólvora».
«Los atacantes han descubierto cómo hacer que la esclavitud de suministro de malware sea petulante. Ya no sólo están comprometiendo paquetes individuales: están creando gusanos que pueden propagarse de forma autónoma a través de todo el ecosistema de ampliación de software».
El ampliación se produce cuando el uso de blockchain para organizar cargas bártulos maliciosas ha experimentado un aumento adecuado a su seudónimo y flexibilidad, e incluso los actores de amenazas de Corea del Meta aprovechan la técnica para orquestar sus campañas de espionaje y motivadas financieramente.
