Los investigadores de ciberseguridad han detectado docenas de extensiones de Microsoft Visual Studio Code (VS Code) en el repositorio Open VSX que están vinculadas a una campaña persistente de robo de información denominada gusano de cristal.

El grupo de 73 extensiones ha sido identificado como versiones clonadas de sus contrapartes legítimas. De estos, se ha confirmado que seis son maliciosos, y el resto actúa como paquetes durmientes aparentemente inofensivos para que los usuarios los descarguen y generen confianza, antes de que su verdadera intención se manifieste a través de una actualización posterior.

Todas las extensiones fueron publicado a principios de mes, según la empresa de seguridad de aplicaciones Socket, que está rastreando la última versión bajo el nombre Gusano de vidrio v2. En total, se han identificado más de 320 artefactos desde el 21 de diciembre de 2025. La lista de extensiones identificadas como maliciosas se detalla a continuación:

• outsidestormcommand.monocromador-tema
• keyacrosslaud.auto-loop-para-antigravedad
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-amigos
• cubedivervolt.html-código-validar
• ganadordominio17.versión-lens-herramienta

Los durmientes clonados, además de escribir errores en los nombres de los paquetes originales (CEINTL.vscode-language-pack-tr vs. Emotionkyoseparate.turkish-language-pack), usan el mismo icono y descripción que sus correspondientes versiones legítimas en un intento de engañar a los desarrolladores desprevenidos y engañarlos para que instalen las extensiones.

Esta «confianza visual» actúa como una táctica eficaz de ingeniería social para aumentar el número de instalaciones de forma orgánica antes de que se envenene para distribuir malware a los usuarios posteriores.

La revelación se produce cuando los actores de amenazas detrás de la campaña están evolucionando activamente su modus operandi, recurriendo a paquetes durmientes y dependencias transitivas para evadir la detección, mientras usan simultáneamente droppers basados ​​en Zig para implementar una extensión VSIX secundaria alojada en GitHub que puede infectar todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

Las extensiones identificadas por Socket actúan como un cargador inocuo para la carga útil real, que es una extensión VSIX que se recupera de GitHub y se instala en cada IDE identificado en el sistema, incluidos VS Code, Cursor, Windsurf y VSCodium, utilizando el comando «–install-extension».

Independientemente del método utilizado, el objetivo final es el mismo: ejecutar malware que evite los sistemas rusos, robar datos confidenciales, instalar un troyano de acceso remoto (RAT) e implementar sigilosamente una extensión maliciosa basada en Chromium para desviar credenciales, marcadores y otra información.

«Este enfoque logra el mismo resultado que la variante basada en binario, pero mantiene la lógica de entrega en JavaScript ofuscado», dijo la compañía. «La extensión actúa como un cargador, mientras que la carga útil se recupera y ejecuta después de la activación».