La campaña de cadena de suministro conocida como Gusano de vidrio ha vuelto a aparecer, infiltrándose tanto en Microsoft Visual Studio Marketplace como en Open VSX con 24 extensiones que se hacen pasar por herramientas y marcos de desarrollo populares como Flutter, React, Tailwind, Vim y Vue.
GlassWorm fue primera documentación en octubre de 2025, detallando su uso de la cadena de bloques Solana para el comando y control (C2) y la recolección de credenciales de npm, Open VSX, GitHub y Git, drenar los activos de criptomonedas de docenas de carteras y convertir las máquinas de los desarrolladores en nodos controlados por los atacantes para otras actividades delictivas.
El aspecto más crucial de la campaña es el abuso de las credenciales robadas para comprometer paquetes y extensiones adicionales, propagando así el malware como un gusano. A pesar de esfuerzos continuos de Microsoft y Open VSX, el malware resurgió por segunda vez el mes pasado, y los atacantes estaban observado segmentar repositorios de GitHub.
La última oleada de la campaña GlassWorm, descubierta por John Tuckner de Secure Annex, incluye un total de 24 extensiones que abarcan ambos repositorios. La lista de extensiones identificadas se encuentra a continuación:
VS Code Marketplace:
- iconkieftwo.icon-theme-material
- prisma-inc.prisma-studio-assistance ( eliminado a partir del 1 de diciembre de 2025)
- más prettier-vsc.vsce-más bonito
- extensión flutcode.flutter
- csvmech.csv arcoíris
- código vsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.kluster-code-verify
- vims-vsce.vscode-vim
- extensión yamlcode.yaml-vscode
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
Abra VSX:
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-para-reaccionar
- extensión flutcode.flutter
- extensión yamlcode.yaml-vscode
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- solidez vital
Se ha descubierto que los atacantes inflan artificialmente el recuento de descargas para que las extensiones parezcan confiables y hagan que aparezcan en un lugar destacado en los resultados de búsqueda, a menudo muy cerca de los proyectos reales en los que se hacen pasar para engañar a los desarrolladores para que las instalen.
«Una vez que la extensión se ha aprobado inicialmente, el atacante parece poder actualizar fácilmente el código con una nueva versión maliciosa y evadir fácilmente los filtros», dijo Tuckner. «Muchas extensiones de código comienzan con un contexto de 'activación' y el código malintencionado se introduce inmediatamente después de producirse la activación».
La nueva versión, aunque sigue basándose en el truco invisible de Unicode, se caracteriza por el uso de implantes a base de óxido que se empaquetan dentro de las extensiones. En un análisis de la extensión «icon-theme-material», Nextron Systems dijo que viene con dos implantes Rust que son capaces de atacar sistemas Windows y macOS -
- Una DLL de Windows llamada os.node
- Una biblioteca dinámica de macOS llamada darwin.node
Como se observó en las infecciones anteriores por GlassWorm, los implantes están diseñados para obtener detalles del servidor C2 de una dirección de billetera blockchain de Solana y usarlos para descargar la carga útil de la siguiente etapa, un archivo JavaScript cifrado. Como respaldo, pueden analizar un evento de Google Calendar para obtener la dirección C2.
«Rara vez un atacante publica más de 20 extensiones maliciosas en los dos mercados más populares en una semana», dijo Tuckner en un comunicado. «Muchos desarrolladores podrían dejarse engañar fácilmente por estas extensiones y están a tan solo un clic de verse comprometidos».