Los investigadores de ciberseguridad han descubierto un gusano que se propaga por sí mismo a través de las extensiones de Visual Studio Code (VS Code) del Open VSX Registry y del Microsoft Extension Marketplace, lo que pone de manifiesto que los desarrolladores se han convertido en el principal objetivo de los ataques.
La sofisticada amenaza, con nombre en código Gusano de vidrio de Koi Security, es el segundo ataque a la cadena de suministro de este tipo que afecta al espacio de DevOps en un lapso de un mes después del Gusano Shai-Hulud que tuvo como objetivo el ecosistema npm a mediados de septiembre de 2025.
Lo que hace que el ataque destaque es el uso de la cadena de bloques Solana para el comando y control (C2), lo que hace que la infraestructura sea resistente a los esfuerzos de desmantelamiento. También utiliza Google Calendar como mecanismo alternativo de C2.
Otro aspecto novedoso es que la campaña GlassWorm se basa en «caracteres Unicode invisibles que hacen que el código malicioso desaparezca literalmente de los editores de código», Idan Dardikman dijo en un informe técnico. «El atacante usó Selectores de variantes Unicode — caracteres especiales que forman parte de la especificación Unicode pero que no producen ningún resultado visual».
El objetivo final del ataque es recopilar las credenciales de npm, Open VSX, GitHub y Git, drenar los fondos de 49 extensiones diferentes de monederos de criptomonedas, implementar servidores proxy SOCKS para convertir las máquinas de los desarrolladores en conductos para actividades delictivas, instalar servidores VNC (HVNC) ocultos para el acceso remoto y convertir en armas las credenciales robadas para comprometer paquetes y extensiones adicionales para una mayor propagación.
Los nombres de las extensiones infectadas, 13 de ellas en Open VSX y una en Microsoft Extension Marketplace, se enumeran a continuación. Estas extensiones se han descargado unas 35.800 veces. La primera ola de infecciones tuvo lugar el 17 de octubre de 2025. Actualmente no se sabe cómo se secuestraron estas extensiones.
- codejoy.codejoy-vscode-extension 1.8.3 y 1.8.4
- l-igh-t.vscode-theme-seti-folder 1.2.3
- kleinesfilmroellchen.serenity-dsl-syntaxhighlight 0.3.2
- jscearcy.rust-Doc-Viewer 4.2.1
- Sirilmp. Dark-Theme-SM 3.11.4
- CodeInklingon.git-Worktree-Menu 1.0.9 y 1.0.91
- ginfuru.better-nunjucks 0.3.2
- ellacrity.recoil 0.7.4
- grrrck.positron-plus-1-e 0.0.71
- jeronimoekerdt.color-picker-universal 2.8.91
- sorcery-colors.sorcery-colors 0.3.9
- sissel.shopify-liquid 4.0.1
- Tretinv3. Forts-API Extension 0.3.1
- cline-ai-main.cline-ai-agent 3.1.3 (Microsoft Extension Marketplace)
El código malicioso oculto dentro de las extensiones está diseñado para buscar transacciones asociado a un billetera controlada por un atacante en la cadena de bloques de Solana y, si lo encuentra, procede a extraer un Cadena codificada en Base64 de la campo memo que se decodifica en el servidor C2 («217.69.3 [.] 218" o «199.247.10 [.] 166") utilizado para recuperar la carga útil de la siguiente etapa.
La carga útil es un ladrón de información que captura credenciales, tokens de autenticación y datos de monederos de criptomonedas, y se comunica con un evento de Google Calendar para analizar otra cadena codificada en Base64 y ponerse en contacto con el mismo servidor para obtener una carga útil con el nombre en código Zombi. Los datos se filtran a un punto final remoto («140.82.52 [.] 31:80») gestionado por el autor de la amenaza.
Escrito en JavaScript, el módulo Zombi básicamente convierte una infección por GlassWorm en un compromiso total al eliminar un proxy SOCKS, módulos WebRTC para la comunicación entre pares, la tabla de hash distribuida (DHT) de BitTorrent para la distribución descentralizada de comandos y HVNC para el control remoto.
El problema se agrava por el hecho de que las extensiones de VS Code están configuradas para actualizarse automáticamente, lo que permite a los actores de amenazas enviar el código malicioso automáticamente sin necesidad de la interacción del usuario.
«No se trata de un ataque puntual a la cadena de suministro», dijo Dardikman. «Es un gusano diseñado para propagarse por el ecosistema de desarrolladores como la pólvora».
«Los atacantes han descubierto cómo hacer que el malware de la cadena de suministro sea autosuficiente. Ya no solo ponen en peligro paquetes individuales, sino que crean gusanos que pueden propagarse de forma autónoma por todo el ecosistema de desarrollo de software».
El desarrollo se produce como uso de blockchain para almacenar cargas maliciosas ha experimentado un aumento debido a su seudónimo y flexibilidad, con incluso actores de amenazas de Corea del Norte aprovechando la técnica para orquestar sus campañas de espionaje y con motivaciones financieras.