Los investigadores de ciberseguridad han señalado una nueva versión de la campaña GlassWorm que, según dicen, representa una «escalada significativa» en la forma en que se propaga a través del registro de Open VSX.

«En lugar de exigir que cada anuncio malintencionado incorpore directamente el cargador, el actor de la amenaza ahora está abusando de ExtensionPack y ExtensionDependencies para convertir las extensiones que inicialmente tenían un aspecto independiente en vehículos de entrega transitivos en actualizaciones posteriores, lo que permite que un paquete de apariencia benigna comience a extraer una extensión independiente vinculada a Glassworm solo cuando ya se haya establecido la confianza», Socket dijo en un informe publicado el viernes.

La empresa de seguridad de la cadena de suministro de software dijo que descubrió al menos 72 extensiones maliciosas adicionales de Open VSX desde el 31 de enero de 2026, dirigidas a desarrolladores. Estas extensiones imitan las utilidades de los desarrolladores más utilizadas, como linters y formateadores, ejecutores de código y herramientas para asistentes de codificación basados en inteligencia artificial (IA), como Clade Code y Google Antigravity.

Los nombres de algunas de las extensiones se enumeran a continuación. Desde entonces, Open VSX ha tomado medidas para eliminarlos del registro -

  • angular-studio.ng-extensión angular
  • extensión crotoapp.vscode-xml
  • extensión de código gvotcha.claude
  • mswincx.antigravy-cockpit
  • tamokill12.foundry-pdf extension
  • turbobase.sql-turbo-tool
  • vce-brendan-studio-eich.js-debuger-vscode

GlassWorm es el nombre que se le da a un campaña de malware en curso que se ha infiltrado repetidamente en Microsoft Visual Studio Marketplace y Open VSX con extensiones maliciosas diseñadas para robar secretos y agotar carteras de criptomonedas, y abusar de los sistemas infectados como proxies para otras actividades delictivas.

adsense

Aunque la actividad fue marcado por primera vez de Koi Security en octubre de 2025, paquetes npm utilizando las mismas tácticas, en particular el uso de caracteres Unicode invisibles para ocultar código malicioso, fueron identificados ya en marzo de 2025.

La última versión conserva muchas de las características asociadas a GlassWorm: realizar comprobaciones para evitar infectar los sistemas con una configuración regional rusa y utilizar las transacciones de Solana como un solucionador sin salida para buscar el servidor de comando y control (C2) para mejorar la resiliencia.

Sin embargo, el nuevo conjunto de extensiones también presenta una mayor ofuscación y hace girar las carteras de Solana para evitar ser detectadas, además de abusar de las relaciones entre extensiones para desplegar cargas útiles maliciosas, de forma similar a como los paquetes npm dependen de dependencias no autorizadas para pasar desapercibidos. Independientemente de si una extensión se declara como «ExtensionPack» o «ExtensionDependencies» en el archivo «package.json» de la extensión, el editor procede a instalar todas las demás extensiones que figuran en ella.

Al hacerlo, la campaña GlassWorm usa una extensión como instalador para otra extensión que es malintencionada. Esto también abre nuevos escenarios de ataque a la cadena de suministro, ya que un atacante primero sube al mercado una extensión de VS Code completamente inofensiva para eludir la revisión, después de lo cual la actualiza para incluir un paquete vinculado a Glassworm como dependencia.

«Como resultado, una extensión que parecía no transitiva y comparativamente benigna en el momento de su publicación inicial puede convertirse más adelante en un vehículo transitivo de entrega de GlassWorm sin ningún cambio en su propósito aparente», dijo Socket.

En un aviso simultáneo, Aikido atribuyó al actor de amenazas de GlassWorm a una campaña masiva que se está extendiendo por los repositorios de código abierto, en la que los atacantes inyectaron varios repositorios caracteres Unicode invisibles para codificar una carga útil. Si bien el contenido no está visible cuando se carga en los editores de código y terminales, lo decodifica y lo descodifica y lo envía a un cargador que se encarga de buscar y ejecutar un script de segunda fase para robar fichas, credenciales y secretos.

Se estima que no menos de 151 repositorios de GitHub se vieron afectados como parte de la campaña entre el 3 y el 9 de marzo de 2026. Además, se ha implementado la misma técnica de Unicode en dos paquetes npm diferentes, lo que indica un envío coordinado y multiplataforma -

  • @aifabrix /miso-cliente
  • @iflow -mcp/watercrawl-watercrawl-mcp

«Las inyecciones maliciosas no llegan en confirmaciones obviamente sospechosas», dijo el investigador de seguridad Ilyas Makari dijo . «Los cambios circundantes son realistas: ajustes en la documentación, cambios de versión, pequeñas refactorizaciones y correcciones de errores que son coherentes desde el punto de vista estilístico con cada proyecto objetivo. Este nivel de adaptación a las necesidades específicas de cada proyecto sugiere claramente que los atacantes están utilizando grandes modelos lingüísticos para generar confirmaciones encubiertas convincentes».

¿PhantomRaven o experimento de investigación?

El desarrollo se presenta como Endor Labs dijo descubrió 88 nuevos paquetes npm maliciosos cargados en tres oleadas entre noviembre de 2025 y febrero de 2026 a través de 50 cuentas desechables. Los paquetes vienen con funciones para robar información confidencial de la máquina comprometida, incluidas las variables de entorno, los tokens de CI/CD y los metadatos del sistema.

La actividad destaca por el uso de dependencias dinámicas remotas (RDD), donde el archivo de metadatos «package.json» especifica una dependencia en una URL HTTP personalizada, lo que permite a los operadores modificar el código malicioso sobre la marcha y eludir la inspección.

enlaces

Si bien los paquetes se identificaron inicialmente como parte del Phantom Raven campaña , la empresa de seguridad de aplicaciones señaló en una actualización que fueron elaboradas por un investigador de seguridad como parte de un experimento legítimo, afirmación que impugnó, citando tres señales de alerta. Esto incluye el hecho de que las bibliotecas recopilan mucha más información de la necesaria, no ofrecen transparencia al usuario y publican con nombres de cuenta y direcciones de correo electrónico que rotan deliberadamente.

A partir del 12 de marzo de 2026, el propietario de los paquetes realizó cambios adicionales y cambió la carga útil de recopilación de datos entregada a través de algunos de los paquetes npm publicados durante el período de tres meses por un simple «¡Hola, mundo!» Mensaje.

«Si bien la eliminación del código que recopilaba una gran cantidad de información es ciertamente bienvenida, también pone de relieve los riesgos asociados con las dependencias de las URL», afirma Endor Labs. «Cuando los paquetes se basan en código alojado fuera del registro de npm, los autores conservan el control total sobre la carga útil sin publicar una nueva versión del paquete. Al modificar un solo archivo del servidor (o simplemente cerrarlo), pueden cambiar o deshabilitar de forma silenciosa el comportamiento de todos los paquetes dependientes a la vez».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.