Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware GlassWorm v2

Malware GlassWorm v2

Por Mezo en Software malicioso, Ladrones
Traducir a:

Investigadores de ciberseguridad han descubierto una campaña maliciosa a gran escala que involucra decenas de extensiones de Microsoft Visual Studio Code (VS Code) alojadas en el repositorio Open VSX. La operación, conocida como GlassWorm, se centra en robar información confidencial de los desarrolladores y comprometer sus entornos de desarrollo.

Los investigadores descubrieron 73 extensiones sospechosas que imitan herramientas legítimas. De ellas, seis han sido verificadas como maliciosas, mientras que el resto parecen funcionar como paquetes "durmientes" inactivos diseñados para ganarse la confianza del usuario antes de ser utilizados como armas mediante actualizaciones.

Todas las extensiones identificadas se subieron a principios de abril de 2026. Desde el 21 de diciembre de 2025, los investigadores han vinculado más de 320 artefactos maliciosos a la infraestructura general de GlassWorm.

Extensiones maliciosas confirmadas

Se ha confirmado que las siguientes extensiones de Open VSX son dañinas:

  • tema monocromador outsidestormcommand
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • Herramienta de lente de versión Winnerdomain17

Ingeniería social mediante paquetes clonados

Muchas de las extensiones durmientes imitan fielmente paquetes de confianza mediante tácticas de typosquatting. Por ejemplo, los atacantes utilizaron nombres engañosos como CEINTL.vscode-language-pack-tr en lugar del legítimo Emotionkyoseparate.turkish-language-pack.

Para reforzar su credibilidad, estas extensiones falsas también copiaron los iconos y las descripciones originales. Esta estrategia de «confianza visual» ayuda a los atacantes a aumentar el número de instalaciones de forma natural, haciendo que los paquetes parezcan auténticos y seguros.

Los atacantes recurren a técnicas de ataque más sigilosas.

Los investigadores informan que los operadores de GlassWorm están perfeccionando activamente sus métodos para evitar ser detectados. En lugar de desplegar malware de inmediato, ahora recurren a paquetes latentes y dependencias transitivas ocultas que pueden activarse posteriormente.

La campaña también utiliza programas de descarga basados en Zig para instalar una segunda extensión VSIX maliciosa alojada en GitHub. Una vez ejecutado, el cargador puede propagar la carga útil a través de múltiples entornos de desarrollo integrados (IDE) instalados en el mismo sistema.

Múltiples IDE en riesgo

El malware es capaz de identificar e infectar varias plataformas de desarrollo a través del comando --install-extension, entre ellas:

  • Microsoft VS Code
  • Cursor
  • Windsurf
  • VSCodio

Carga útil final diseñada para el robo de datos y el control remoto.

Independientemente de la vía de infección inicial, el objetivo final sigue siendo el mismo. El malware está diseñado para evitar los sistemas ubicados en Rusia, recopilar información confidencial, desplegar un troyano de acceso remoto (RAT) e instalar secretamente una extensión de navegador maliciosa basada en Chromium.

Esta extensión de navegador puede capturar credenciales, marcadores y otros datos almacenados. En algunas variantes, el mecanismo de entrega está oculto dentro de código JavaScript ofuscado, donde la extensión actúa únicamente como un cargador mientras que el código real se descarga y ejecuta tras su activación.

Tendencias

Mas Visto

Cargando...