Los investigadores de ciberseguridad han publicado un nuevo conjunto de tres extensiones asociadas a la campaña GlassWorm, lo que indica que los actores de amenazas siguen intentando atacar el ecosistema de Visual Studio Code (VS Code).

El extensiones en cuestión , que todavía están disponibles para su descarga, se enumeran a continuación -

GlassWorm, documentado por primera vez por Koi Security a finales del mes pasado, se refiere a una campaña en la que los actores de amenazas aprovechan las extensiones de VS Code en Open VSX Registry y Microsoft Extension Marketplace para recopilar las credenciales de Open VSX, GitHub y Git, extraer fondos de 49 extensiones diferentes de monederos de criptomonedas y utilizar herramientas adicionales para el acceso remoto.

Lo que hace que el malware sea notable es que utiliza caracteres Unicode invisibles para ocultar el código malicioso en los editores de código y abusa de las credenciales robadas para comprometer extensiones adicionales y ampliar aún más su alcance, creando de manera efectiva un ciclo de autorreplicación que permite que se propague como un gusano.

En respuesta a los hallazgos, Open VSX dijo identificó y eliminó todas las extensiones maliciosas, además de rotar o revocar los tokens asociados a partir del 21 de octubre de 2025. Sin embargo, el último informe de Koi Security muestra que la amenaza ha resurgido por segunda vez, utilizando el mismo truco invisible de ofuscación de caracteres Unicode para evitar ser detectada.

«El atacante ha publicado una nueva transacción en la cadena de bloques de Solana, que proporciona un punto final C2 [comando y control] actualizado para descargar la carga útil de la siguiente etapa», dijeron los investigadores de seguridad Idan Dardikman, Yuval Ronen y Lotan Sery.

«Esto demuestra la resiliencia de la infraestructura C2 basada en la cadena de bloques: incluso si se desactivan los servidores de carga útil, el atacante puede publicar una nueva transacción por una fracción de centavo y todas las máquinas infectadas obtienen automáticamente la nueva ubicación».

El proveedor de seguridad también reveló que identificó un punto final que, según se dice, quedó expuesto inadvertidamente en el servidor del atacante, lo que descubrió una lista parcial de víctimas en EE. UU., Sudamérica, Europa y Asia. Esto incluye a una importante entidad gubernamental de Oriente Medio.

Un análisis más detallado ha descubierto información sobre el keylogger supuestamente procedente de la propia máquina del atacante, lo que ha arrojado algunas pistas sobre la procedencia de GlassWorm. Se estima que el autor de la amenaza es rusoparlante y se dice que utiliza una extensión de navegador de código abierto llamada C2 Framework RedExt como parte de su infraestructura.

«Se trata de organizaciones y personas reales cuyas credenciales han sido robadas, cuyas máquinas pueden estar sirviendo como infraestructura de proxy delictiva y cuyas redes internas ya pueden estar comprometidas», afirma Koi Security.

El desarrollo se produce poco después de Aikido Security hallazgos publicados lo que demuestra que GlassWorm ha ampliado su enfoque para centrarse en GitHub, lo que indica que las credenciales robadas de GitHub se utilizan para enviar confirmaciones maliciosas a los repositorios.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.