Los investigadores de ciberseguridad han revelado detalles de un ataque a la cadena de suministro dirigido al Open VSX Registry en el que actores de amenazas no identificados comprometieron los recursos de un desarrollador legítimo para enviar actualizaciones maliciosas a los usuarios intermedios.

«El 30 de enero de 2026, cuatro extensiones de Open VSX establecidas publicadas por el autor de oorzc publicaron versiones maliciosas en Open VSX que incorporaban el cargador de malware GlassWorm», dijo Kirill Boychenko, investigador de seguridad de Socket dijo en un informe del sábado.

«Estas extensiones se habían presentado anteriormente como utilidades legítimas para desarrolladores (algunas se publicaron por primera vez hace más de dos años) y, en conjunto, acumularon más de 22 000 descargas de Open VSX antes de los lanzamientos maliciosos».

La empresa de seguridad de la cadena de suministro dijo que el ataque a la cadena de suministro implicó comprometer las credenciales de publicación del desarrollador, y el equipo de seguridad de Open VSX evaluó que el incidente implicaba el uso de un token filtrado u otro acceso no autorizado. Desde entonces, las versiones maliciosas se han eliminado del Open VSX.

La lista de extensiones identificadas está a continuación -

  • Herramienta de sincronización FTP/SFTP/SSH (oorzc.ssh-tools — versión 0.5.1)
  • Herramientas I18n (oorzc.i18n-tools-plus — versión 1.6.8)
  • mapa mental de vscode (oorzc.mind-map — versión 1.0.61)
  • scss a css (oorzc.scss-to-css-compile — versión 1.3.4)

Las versiones envenenadas, señaló Socket, están diseñadas para entregar un cargador de malware asociado a una campaña conocida llamada Gusano de vidrio . El cargador está equipado para descifrar y ejecutar dispositivos integrados en tiempo de ejecución, utiliza una técnica cada vez más utilizada como arma llamada EtherHiding para obtener puntos finales de mando y control (C2) y, en última instancia, ejecuta código diseñado para robar las credenciales de macOS de Apple y los datos de monederos de criptomonedas.

Al mismo tiempo, el malware se detona solo después de que se haya perfilado la máquina comprometida y se haya determinado que no corresponde a una ubicación rusa, un patrón que se observa comúnmente en los programas maliciosos que se originan o están afiliados a actores de amenazas de habla rusa para evitar el enjuiciamiento nacional.

Los tipos de información recopilada por el malware incluyen -

  • Datos de navegadores basados en Mozilla Firefox y Chromium (inicios de sesión, cookies, historial de Internet y extensiones de monedero como MetaMask)
  • Archivos de monederos de criptomonedas (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance y TonKeeper)
  • Base de datos de llaveros de iCloud
  • Cookies de Safari
  • Datos de Apple Notes
  • documentos de usuario de las carpetas Escritorio, Documentos y Descargas
  • Archivos de configuración de VPN de FortiClient
  • Credenciales de desarrollador (p. ej., ~/.aws y ~/.ssh)

La segmentación de la información de los desarrolladores plantea graves riesgos, ya que expone a los entornos empresariales a posibles ataques de movimiento lateral y comprometer las cuentas en la nube.

«La carga útil incluye rutinas para localizar y extraer el material de autenticación utilizado en los flujos de trabajo comunes, incluida la inspección de la configuración de npm para _authToken y la referencia a los artefactos de autenticación de GitHub, que pueden proporcionar acceso a repositorios privados, secretos de CI y automatización de versiones», dijo Boychenko.

Un aspecto importante del ataque es que difiere de los indicadores de GlassWorm observados anteriormente, ya que utiliza una cuenta comprometida que pertenece a un desarrollador legítimo para distribuir el malware. En ocasiones anteriores, los responsables de la campaña habían utilizado la ciberpiratería y el robo de marca para subir extensiones fraudulentas con el fin de propagarlas posteriormente.

«El actor de amenazas se integra en los flujos de trabajo normales de los desarrolladores, oculta la ejecución detrás de cargadores cifrados y descifrados en tiempo de ejecución y utiliza las notas de Solana como un punto muerto dinámico para rotar la infraestructura de ensayo sin volver a publicar las extensiones», afirma Socket. «Estas opciones de diseño reducen el valor de los indicadores estáticos y desplazan la ventaja de los defensores hacia la detección del comportamiento y la respuesta rápida».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.