Alerta por ataque a la cadena de suministro en Open VSX con GlassWorm
Publicado el
Ataque a la Cadena de Suministro en Open VSX
Investigadores de ciberseguridad han revelado un ataque a la cadena de suministro que afecta al Open VSX Registry, donde actores de amenazas no identificados han comprometido los recursos de un desarrollador legítimo para distribuir actualizaciones maliciosas. El 30 de enero de 2026, se publicaron versiones maliciosas de cuatro extensiones establecidas de Open VSX, creadas por el autor oorzc, que incluían el cargador de malware GlassWorm.
Según el investigador de seguridad Socket, Kirill Boychenko, estas extensiones, que anteriormente se presentaban como utilidades legítimas, habían acumulado más de 22,000 descargas antes de que se publicaran las versiones comprometidas. Este ataque se llevó a cabo mediante la compromisión de las credenciales de publicación del desarrollador, lo que sugiere el uso de un token filtrado o acceso no autorizado. Las versiones maliciosas han sido eliminadas de Open VSX.
Extensiones Afectadas
Las extensiones identificadas en el ataque son: - FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — versión 0.5.1) - I18n Tools (oorzc.i18n-tools-plus — versión 1.6.8) - vscode mindmap (oorzc.mind-map — versión 1.0.61) - scss to css (oorzc.scss-to-css-compile — versión 1.3.4)
Las versiones comprometidas están diseñadas para proporcionar un cargador de malware vinculado a la campaña conocida como GlassWorm. Este cargador es capaz de descifrar y ejecutar código malicioso en tiempo de ejecución, utilizando una técnica cada vez más sofisticada llamada EtherHiding para obtener puntos de comando y control (C2), y tiene como objetivo robar credenciales de macOS y datos de billeteras de criptomonedas.
Impacto del Malware
El malware solo se activa tras la profilación de la máquina comprometida, asegurándose de que no corresponda a una localidad rusa, una táctica comúnmente observada en programas maliciosos asociados a actores de habla rusa para evitar la persecución legal. La información que puede ser sustraída incluye: - Datos de navegadores como Mozilla Firefox y aquellos basados en Chromium (inicios de sesión, cookies, historial de internet y extensiones de billetera como MetaMask). - Archivos de billeteras de criptomonedas (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance y TonKeeper). - Base de datos del llavero de iCloud. - Cookies de Safari. - Documentos de Apple Notes desde los directorios de Escritorio, Documentos y Descargas. - Archivos de configuración de FortiClient VPN. - Credenciales de desarrollador (por ejemplo, ~/.aws y ~/.ssh).
La exposición de la información de los desarrolladores presenta riesgos significativos, ya que puede comprometer entornos empresariales y permitir movimientos laterales de ataque. Boychenko señaló que la carga útil incluye rutinas para localizar y extraer material de autenticación utilizado en flujos de trabajo comunes, como la inspección de la configuración de npm para _authToken y la referencia a artefactos de autenticación de GitHub, lo que podría proporcionar acceso a repositorios privados, secretos de CI y automatización de lanzamientos.
Estrategia del Ataque
Un aspecto notable de este ataque es que se desvía de los indicadores de GlassWorm previamente observados, al utilizar una cuenta comprometida de un desarrollador legítimo para distribuir el malware. En ocasiones anteriores, los actores de amenazas han utilizado técnicas de typosquatting y brandjacking para cargar extensiones fraudulentas.
Este enfoque permite al atacante integrarse en los flujos de trabajo normales de los desarrolladores, ocultando la ejecución detrás de cargadores cifrados y descifrados en tiempo de ejecución, utilizando memos de Solana como un punto de entrega dinámico para rotar la infraestructura de preparación sin necesidad de republicar las extensiones.
Estas decisiones de diseño dificultan la detección basada en indicadores estáticos y desplazan la ventaja hacia la detección comportamental y la respuesta rápida.