CrowdStrike tiene desmanteló la botnet Glassworm en una operación con la ayuda de Google y Shadowserver, que despojó a los operadores del acceso a la infraestructura que ayudó a los actores de amenazas a infectar cientos de piezas de software de código abierto con malware desde principios de 2025, dijo la compañía el martes.

El esfuerzo coordinado implicó la eliminación simultánea de cuatro servidores controlados por atacantes que fueron diseñados para ocultar las operaciones de la botnet y permanecer resistentes a las interrupciones.

CrowdStrike y sus socios derribaron la infraestructura, cortaron el acceso a los servicios más críticos de la botnet, impidieron el impulso de la operación y desaceleraron la capacidad de los atacantes para escalar, dijo a CyberScoop Adam Meyers, vicepresidente senior de operaciones contra adversarios de CrowdStrike.

«El objetivo más amplio es una presión sostenida que obligue al adversario a gastar tiempo, recursos y energía operativa en reconstituir la infraestructura en lugar de atacar a las víctimas», añadió Meyers. «Al exponer el oficio y compartir inteligencia, los defensores pueden fortalecer los entornos de desarrollo, los canales de CI/CD y las cadenas de suministro de software contra actividades similares. Eso aumenta el costo operativo para el adversario y da a los defensores una ventaja».

Glassworm se ha dirigido a desarrolladores de software para acceder a repositorios de código fuente, plataformas en la nube, procesos de integración y entrega y registros de paquetes de código abierto para introducir malware en la cadena de suministro y desencadenar compromisos posteriores.

El grupo de amenazas detrás de la botnet, que probablemente tiene su sede en Rusia, según CrowdStrike, introdujo malware en extensiones VSCode, paquetes npm y Python y más de 300 repositorios de GitHub, dijeron los investigadores.

Glassworm afectó los sistemas Windows, macOS y Linux con robo de datos y credenciales, y una herramienta de acceso remoto llamada GlasswormRAT.

«Lo que destacó de Glassworm fue la sofisticación operativa en torno a la propagación y la automatización», dijo Meyers. «Esto no fue simplemente un compromiso de romper y apoderarse de un repositorio de paquetes. La operación fue diseñada para moverse a través de flujos de trabajo de desarrolladores confiables de una manera que podría expandir el alcance muy rápidamente si no se controla».

La botnet se basó en cuatro canales en capas que CrowdStrike interrumpió, incluida la cadena de bloques Solana, la red peer-to-peer de BitTorrent, Google Calendar y servidores privados virtuales alojados por proveedores comerciales.

«Como parte de nuestros esfuerzos de disrupción, estamos trabajando con socios para causar más dolor a los atacantes, especialmente cuando los vemos abusando de nuestros productos o atacando a nuestros usuarios», dijo John Hultquist, analista jefe de Google Threat Intelligence Group, en un publicar en X.

Las contramedidas destruyeron “el tejido conectivo de la operación para crear un dolor operativo en cascada”, dijo Meyers. «Esto obliga al adversario a reconstruir, al tiempo que expone el comercio».

CrowdStrike dijo que la eliminación demuestra cómo la industria de la seguridad puede frustrar eficazmente las amenazas a la cadena de suministro al interrumpir de manera proactiva la infraestructura precisa que utilizan los atacantes sin esperar largos procesos judiciales.

«Cuando los actores de amenazas operan desde jurisdicciones donde la cooperación policial es limitada o inexistente, la disrupción se convierte en una de las herramientas más eficaces disponibles. Si no se pueden poner esposas al operador, hay que centrarse en desmantelar la infraestructura, las relaciones de confianza y las dependencias operativas», añadió Meyers.

La empresa de seguridad compartió indicadores de compromiso para ayudar a las organizaciones a buscar posibles infecciones en sus entornos y pidió a otros proveedores, agencias de aplicación de la ley, operadores de plataformas y el ecosistema de código abierto que reúnan la misma determinación para responder a las amenazas en la cadena de suministro de software.

«Cuanto más visibilidad y alineación se cree en todo el ecosistema, más difícil será para el actor mantener silenciosamente la operación», dijo Meyers. «Es posible que no se elimine por completo al actor de la amenaza, pero se puede reducir absolutamente la eficacia, limitar el alcance y aumentar el costo de hacer negocios».

CrowdStrike, en asociación con Google y Shadowserver Foundation, ha anunciado la interrupción simultánea de todos los canales de comando y control (C2) asociados con GlassWorm, una campaña de cadena de software persistente dirigida a desarrolladores de software a través de paquetes y extensiones maliciosos.

«Desde al menos principios de 2025, los operadores de GlassWorm se han dirigido sistemáticamente a los desarrolladores de software, una población con acceso a repositorios de código fuente, plataformas en la nube, canales de CI/CD y registros de paquetes», CrowdStrike dicho.

El desarrollo se produce cuando los desarrolladores se han convertido en objetivos cada vez más lucrativos para realizar ataques a la cadena de suministro de software, lo que permite a los atacantes aprovechar una única estación de trabajo comprometida para impactar a miles de organizaciones y usuarios a la vez.

GlassWorm, desde su aparición el año pasado, ha llevado a cabo una «campaña multifacética» que utiliza extensiones de VS Code troyanizadas publicadas tanto en Microsoft VS Code Marketplace como en Open VSX, lo que permite dirigirse a usuarios de bifurcaciones de VS Code como Cursor, Positron, Windsurf y VSCodium.

También se sabe que la campaña introdujo código malicioso a través de paquetes npm y Python comprometidos. El objetivo final de los ataques es ofrecer un marco de robo de datos con capacidades de recolección de credenciales, exfiltración de billeteras de criptomonedas y creación de perfiles del sistema.

Se ha descubierto que iteraciones posteriores de GlassWorm implementan una RAT de JavaScript basada en Websocket llamada GlassWormRAT para robar datos del navegador web y ejecutar código arbitrario, incluida la instalación de una extensión de Google Chrome que, a su vez, recopila datos confidenciales, incluidas capturas de pantalla, pulsaciones de teclas y contenido del portapapeles, del sistema infectado.

«Una vez activo, el malware busca en el host credenciales de desarrollador (GitHub, NPM, tokens OpenVSX, billeteras criptográficas), lo que permite comprometer aún más los repositorios y las cargas de paquetes», dijo el investigador de Endor Labs, Kiran Raj. dicho.

«Los hosts infectados se convierten en infraestructura encubierta: proxies SOCKS, servidores VNC (HVNC) ocultos y nodos de ejecución remota (a través de WebRTC o procesos Node.js generados). Eso les da a los atacantes acceso anónimo a redes corporativas y personales y una plataforma para propagarse más».

En conjunto, se dice que la actividad maliciosa ha envenenado más de 300 repositorios de GitHub utilizando credenciales de desarrollador robadas. Lo que hizo que la operación fuera notable fue el uso de cuatro canales C2 distintos para mejorar la resiliencia:

«La combinación de blockchain, peer-to-peer y servicios web legítimos como capas de resolución fue diseñada para ser resistente contra derribos: un frente dinámico que protege los servidores C2 reales detrás de múltiples capas de indirección», dijo CrowdStrike.

Como resultado de la eliminación, los cuatro canales han sido neutralizados simultáneamente en un esfuerzo coordinado para que las máquinas infectadas ya no puedan recibir nuevas instrucciones o cargas útiles.

Al describir a los operadores de GlassWorm como «con buenos recursos y persistentes», la compañía de ciberseguridad atribuyó la actividad a probables ciberdelincuentes con sede en Rusia, dado que el malware finaliza la ejecución en sistemas ubicados en los países de la Comunidad de Estados Independientes (CEI) y contiene comentarios en ruso.

«La cadena de suministro de software sigue siendo una de las superficies de ataque más importantes en la informática moderna», concluyó CrowdStrike. «Los adversarios están convirtiendo la dependencia de una organización de herramientas, actualizaciones y bibliotecas en mecanismos de entrega armados y multiplicadores de fuerza».

«La barrera para envenenar un paquete o extensión es baja; el radio potencial de explosión es enorme. Mientras los entornos de desarrollo, los canales de construcción y los repositorios de código permanezcan desprotegidos, cada organización que consume software hereda el riesgo de todos los que lo producen. GlassWorm demuestra que los atacantes lo saben y están invirtiendo en infraestructura resistente para mantener un acceso persistente a los ecosistemas de desarrolladores».

Los investigadores de ciberseguridad han detectado docenas de extensiones de Microsoft Visual Studio Code (VS Code) en el repositorio Open VSX que están vinculadas a una campaña persistente de robo de información denominada gusano de cristal.

El grupo de 73 extensiones ha sido identificado como versiones clonadas de sus contrapartes legítimas. De estos, se ha confirmado que seis son maliciosos, y el resto actúa como paquetes durmientes aparentemente inofensivos para que los usuarios los descarguen y generen confianza, antes de que su verdadera intención se manifieste a través de una actualización posterior.

Todas las extensiones fueron publicado a principios de mes, según la empresa de seguridad de aplicaciones Socket, que está rastreando la última versión bajo el nombre Gusano de vidrio v2. En total, se han identificado más de 320 artefactos desde el 21 de diciembre de 2025. La lista de extensiones identificadas como maliciosas se detalla a continuación:

• outsidestormcommand.monocromador-tema
• keyacrosslaud.auto-loop-para-antigravedad
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-amigos
• cubedivervolt.html-código-validar
• ganadordominio17.versión-lens-herramienta

Los durmientes clonados, además de escribir errores en los nombres de los paquetes originales (CEINTL.vscode-language-pack-tr vs. Emotionkyoseparate.turkish-language-pack), usan el mismo icono y descripción que sus correspondientes versiones legítimas en un intento de engañar a los desarrolladores desprevenidos y engañarlos para que instalen las extensiones.

Esta «confianza visual» actúa como una táctica eficaz de ingeniería social para aumentar el número de instalaciones de forma orgánica antes de que se envenene para distribuir malware a los usuarios posteriores.

La revelación se produce cuando los actores de amenazas detrás de la campaña están evolucionando activamente su modus operandi, recurriendo a paquetes durmientes y dependencias transitivas para evadir la detección, mientras usan simultáneamente droppers basados ​​en Zig para implementar una extensión VSIX secundaria alojada en GitHub que puede infectar todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

Las extensiones identificadas por Socket actúan como un cargador inocuo para la carga útil real, que es una extensión VSIX que se recupera de GitHub y se instala en cada IDE identificado en el sistema, incluidos VS Code, Cursor, Windsurf y VSCodium, utilizando el comando «–install-extension».

Independientemente del método utilizado, el objetivo final es el mismo: ejecutar malware que evite los sistemas rusos, robar datos confidenciales, instalar un troyano de acceso remoto (RAT) e implementar sigilosamente una extensión maliciosa basada en Chromium para desviar credenciales, marcadores y otra información.

«Este enfoque logra el mismo resultado que la variante basada en binario, pero mantiene la lógica de entrega en JavaScript ofuscado», dijo la compañía. «La extensión actúa como un cargador, mientras que la carga útil se recupera y ejecuta después de la activación».

Los investigadores de ciberseguridad han señalado otra evolución más de la actual gusano de cristal campaña, que emplea un nuevo cuentagotas Zig que está diseñado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

La técnica ha sido descubierta en una extensión Open VSX llamada «specstudio.code-wakatime-actividad-rastreador«, que se hace pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan dentro de su IDE. La extensión ya no está disponible para descargar.

«La extensión […] envía un binario nativo compilado por Zig junto con su código JavaScript», dijo el investigador de Aikido Security, Ilyas Makari. dicho en un análisis publicado esta semana.

«Esta no es la primera vez que GlassWorm recurre al uso código compilado nativo en extensiones. Sin embargo, en lugar de utilizar el binario como carga útil directamente, se utiliza como una dirección indirecta sigilosa para el conocido dropper GlassWorm, que ahora infecta secretamente todos los demás IDE que puede encontrar en su sistema».

La extensión Microsoft Visual Studio Code (VS Code) recientemente identificada es casi una réplica de WakaTime, salvo por un cambio introducido en una función llamada «activate()». La extensión instala un binario llamado «win.node» en sistemas Windows y «mac.node», un binario Mach-O universal si el sistema ejecuta Apple macOS.

Estos complementos nativos de Node.js son bibliotecas compartidas compiladas que están escritas en Zig y se cargan directamente en el tiempo de ejecución de Node y se ejecutan fuera del entorno limitado de JavaScript con acceso completo a nivel del sistema operativo.

Una vez cargado, el objetivo principal del binario es encontrar todos los IDE del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, así como bifurcaciones como VSCodium, Positron y una serie de herramientas de codificación impulsadas por inteligencia artificial (IA) como Cursor y Windsurf.

Luego, el binario descarga una extensión maliciosa de VS Code (.VSIX) desde un sitio controlado por el atacante. cuenta GitHub. La extensión, llamada «floktokbok.autoimport», se hace pasar por «esteoteatos.autoimport,» una extensión legítima con más de 5 millones de instalaciones en el Visual Studio Marketplace oficial.

En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador CLI de cada editor. La extensión VS Code de segunda etapa actúa como un gotero que evita la ejecución en sistemas rusos, se comunica con la cadena de bloques de Solana para buscar el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensión de Google Chrome para robar información.

Se recomienda a los usuarios que hayan instalado «specstudio.code-wakatime-activity-tracker» o «floktokbok.autoimport» que asuman un compromiso y roten todos los secretos.

Los investigadores de ciberseguridad han señalado una nueva evolución de la campaña GlassWorm que ofrece un marco de múltiples etapas capaz de robar datos integrales e instalar un troyano de acceso remoto (RAT), que implementa una extensión de Google Chrome para robar información haciéndose pasar por una versión fuera de línea de Google Docs.

«Registra las pulsaciones de teclas, descarga cookies y tokens de sesión, realiza capturas de pantalla y recibe comandos de un servidor C2 oculto en una nota de la cadena de bloques Solana», dijo el investigador de seguridad de Aikido Ilyas Makari. dicho en un informe publicado la semana pasada.

GlassWorm es el apodo asignado a una campaña persistente que obtiene un punto de apoyo inicial a través de paquetes maliciosos publicados en npm, PyPI, GitHub y el mercado Open VSX. Además, se sabe que los operadores comprometen las cuentas de los mantenedores del proyecto para enviar actualizaciones envenenadas.

Los ataques son lo suficientemente cuidadosos como para evitar infectar sistemas con una configuración regional rusa y utilizan transacciones de Solana como un sistema de resolución muerta para recuperar el servidor de comando y control (C2) («45.32.150[.]251») y descargar cargas útiles específicas del sistema operativo.

La carga útil de la etapa dos es un marco de robo de datos con capacidades de recolección de credenciales, exfiltración de billeteras de criptomonedas y creación de perfiles del sistema. Los datos recopilados se comprimen en un archivo ZIP y se extraen a un servidor externo («217.69.3[.]152/pared»). También incorpora funcionalidad para recuperar y lanzar la carga útil final.

Una vez que se transmiten los datos, la cadena de ataque implica recuperar dos componentes adicionales: un binario .NET diseñado para llevar a cabo phishing de billetera de hardware y un RAT JavaScript basado en Websocket para desviar datos del navegador web y ejecutar código arbitrario. La carga útil RAT se obtiene de «45.32.150[.]251» mediante el uso de una URL de evento pública de Google Calendar como solucionador de caídas muertas.

El binario .NET aprovecha la infraestructura del Instrumental de administración de Windows (WMI) para detectar conexiones de dispositivos USB y muestra una ventana de phishing cuando se conecta una billetera de hardware Ledger o Trezor.

«La interfaz de usuario de Ledger muestra un error de configuración falso y presenta 24 campos de entrada de frases de recuperación numerados», señaló Makari. «La interfaz de usuario de Trezor muestra un mensaje falso de ‘Error en la validación del firmware, iniciando reinicio de emergencia’ con el mismo diseño de entrada de 24 palabras. Ambas ventanas incluyen un botón ‘RESTAURAR WALLET’».

El malware no sólo elimina cualquier proceso real de Ledger Live que se esté ejecutando en el host de Windows, sino que también vuelve a mostrar la ventana de phishing si la víctima la cierra. El objetivo final del ataque es capturar la frase de recuperación de la billetera y transmitirla a la dirección IP «45.150.34[.]158.»

La RAT, por otro lado, utiliza una tabla hash distribuida (DHT) para recuperar los detalles de C2. En caso de que el mecanismo no devuelva ningún valor, el malware cambia al punto muerto basado en Solana. Luego, la RAT establece comunicación con el servidor para ejecutar varios comandos en el sistema comprometido:

• start_hvnc / stop_hvnc, para implementar un módulo de Computación de red virtual oculta (HVNC) para acceso a escritorio remoto.
• start_socks / stop_socks, para iniciar un módulo WebRTC y ejecutarlo como proxy SOCKS.
• reget_log, para robar datos de navegadores web, como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi y Mozilla Firefox. El componente está equipado para eludir las protecciones de cifrado vinculado a aplicaciones (ABE) de Chrome.
• get_system_info, para enviar información del sistema.
• comando, para ejecutar JavaScript proporcionado por el atacante a través de eval().

La RAT también instala a la fuerza una extensión de Google Chrome llamada Google Docs Offline en sistemas Windows y macOS, que luego se conecta a un servidor C2 y recibe comandos emitidos por el operador, lo que permite recopilar cookies, almacenamiento local y el modelo de objetos de documento completo (DOMINGO) árbol de la pestaña activa, marcadores, capturas de pantalla, pulsaciones de teclas, contenido del portapapeles, hasta 5000 entradas del historial del navegador y la lista de extensiones instaladas.

«La extensión también realiza vigilancia de sesión específica. Extrae las reglas del sitio monitoreado de /api/get-url-for-watch y se envía con Bybit (.bybit.com) preconfigurado como objetivo, vigilando las cookies de token seguro y de identificación del dispositivo», dijo Aikido. «Al ser detectado, activa un webhook detectado por autenticación a /api/webhook/auth-detected que contiene el material de la cookie y los metadatos de la página. El C2 también puede proporcionar reglas de redireccionamiento que fuerzan las pestañas activas a URL controladas por el atacante».

El descubrimiento coincide con otro cambio en las tácticas de GlassWorm, con los atacantes publicando paquetes npm haciéndose pasar por el servidor WaterCrawl Model Context Protocol (MCP) («@iflow-mcp/watercrawl-watercrawl-mcp) para distribuir cargas útiles maliciosas.

«Este es el primer paso confirmado de GlassWorm hacia el ecosistema MCP», dijo el investigador de seguridad de Koi, Lotan Sery. «Y dado lo rápido que está creciendo el desarrollo asistido por IA, y cuánta confianza se otorga a los servidores MCP por diseño, este no será el último».

Se recomienda a los desarrolladores que tengan cuidado al instalar extensiones Open VSX, paquetes npm y servidores MCP. También se recomienda verificar los nombres de los editores, los historiales de paquetes y evitar confiar ciegamente en los recuentos de descargas. La empresa polaca de ciberseguridad AFINE ha publicado una herramienta Python de código abierto llamada cazador de gusanos de cristal para escanear los sistemas de los desarrolladores en busca de cargas útiles asociadas con la campaña.

«El cazador de gusanos de vidrio no realiza ninguna solicitud de red durante el escaneo», dijeron los investigadores Paweł Woyke y Sławomir Zakrzewski. «Sin telemetría. Sin llamadas telefónicas a casa. Sin verificaciones de actualizaciones automáticas. Solo lee archivos locales. La actualización de Glassworm-hunter es el único comando que toca la red. Obtiene la última versión Base de datos de IoC de nuestro GitHub y lo guarda localmente.»

La campaña de malware GlassWorm se está utilizando para impulsar un ataque continuo que aprovecha los tokens de GitHub robados para inyectar malware en cientos de repositorios de Python.

«El ataque se dirige a proyectos Python, incluidas aplicaciones Django, código de investigación de aprendizaje automático, paneles Streamlit y paquetes PyPI, agregando código ofuscado a archivos como setup.py, main.py y app.py», StepSecurity dicho. «Cualquiera que ejecute pip install desde un repositorio comprometido o clone y ejecute el código activará el malware».

Según la empresa de seguridad de la cadena de suministro de software, las primeras inyecciones se remontan al 8 de marzo de 2026. Los atacantes, al obtener acceso a las cuentas de los desarrolladores, rebase las últimas confirmaciones legítimas en la rama predeterminada de los repositorios de destino con código malicioso y luego forzar los cambios, manteniendo intactos el mensaje, el autor y la fecha del autor de la confirmación original.

Esta nueva rama de la campaña GlassWorm ha recibido el nombre en código ForceMemo. El ataque se desarrolla a través de los siguientes cuatro pasos:

• Comprometer los sistemas de los desarrolladores con el malware GlassWorm a través de extensiones maliciosas de VS Code y Cursor. El malware contiene un componente dedicado a robar secretos, como tokens de GitHub.
• Utilice las credenciales robadas para forzar la implementación de cambios maliciosos en cada repositorio administrado por la cuenta de GitHub violada al cambiar la base del malware ofuscado a archivos Python llamados «setup.py», «main.py» o «app.py».
• La carga útil codificada en Base64, adjunta al final del archivo Python, presenta comprobaciones similares a GlassWorm para determinar si el sistema tiene su configuración regional configurada en ruso. Si es así, omite la ejecución. En todos los demás casos, el malware consulta el Campo de nota de transacción asociado con una billetera Solana («BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC») previamente vinculado a GlassWorm para extraer la URL de carga útil.
• Descargue cargas útiles adicionales del servidor, incluido JavaScript cifrado diseñado para robar criptomonedas y datos.

«La primera transacción en la dirección C2 data del 27 de noviembre de 2025, más de tres meses antes de las primeras inyecciones de repositorio de GitHub el 8 de marzo de 2026», dijo StepSecurity. «La dirección tiene 50 transacciones en total, y el atacante actualiza periódicamente la URL de la carga útil, a veces varias veces al día».

La divulgación se produce cuando Socket marcó una nueva iteración de GlassWorm que técnicamente conserva el mismo oficio principal al tiempo que mejora la capacidad de supervivencia y la evasión al aprovechar extensionPack y extensionDependencies para entregar la carga útil maliciosa mediante un modelo de distribución transitiva.

Además, Aikido Security también atribuyó al autor de GlassWorm una campaña masiva que comprometió más de 151 repositorios de GitHub con código malicioso oculto mediante caracteres Unicode invisibles. Curiosamente, la carga útil decodificada está configurada para recuperar las instrucciones C2 de la misma billetera Solana, lo que indica que el actor de la amenaza ha estado apuntando a los repositorios de GitHub en múltiples oleadas.

El uso de diferentes métodos de entrega y métodos de ofuscación de código, pero la misma infraestructura de Solana, sugiere que ForceMemo es un nuevo vector de entrega mantenido y operado por el actor de amenazas GlassWorm, que ahora ha pasado de comprometer las extensiones de VS Code a una adquisición más amplia de cuentas de GitHub.

«El atacante inyecta malware forzando la rama predeterminada de los repositorios comprometidos», señaló StepSecurity. «Esta técnica reescribe el historial de git, conserva el mensaje de confirmación y el autor originales, y no deja ninguna solicitud de extracción ni rastro de confirmación en la interfaz de usuario de GitHub. Ninguna otra campaña documentada de la cadena de suministro utiliza este método de inyección».

Los investigadores de ciberseguridad han señalado una nueva iteración de la campaña GlassWorm que, según dicen, representa una «escalada significativa» en la forma en que se propaga a través del registro Open VSX.

«En lugar de requerir que cada listado malicioso incorpore el cargador directamente, el actor de amenazas ahora está abusando de extensionPack y extensionDependencies para convertir extensiones inicialmente independientes en vehículos de entrega transitivos en actualizaciones posteriores, permitiendo que un paquete de apariencia benigna comience a extraer una extensión separada vinculada a GlassWorm solo después de que ya se haya establecido la confianza», Socket dicho en un informe publicado el viernes.

La empresa de seguridad de la cadena de suministro de software dijo que descubrió al menos 72 extensiones maliciosas Open VSX adicionales desde el 31 de enero de 2026, dirigidas a desarrolladores. Estas extensiones imitan utilidades de desarrollo ampliamente utilizadas, incluidos linters y formateadores, ejecutores de código y herramientas para asistentes de codificación impulsados ​​por inteligencia artificial (IA), como Clade Code y Google Antigravity.

Los nombres de algunas de las extensiones se enumeran a continuación. Desde entonces, Open VSX ha tomado medidas para eliminarlos del registro.

• angular-studio.ng-extensión-angular
• crotoapp.vscode-xml-extensión
• extensión-de-código-gvotcha.claude
• mswincx.antigravity-cockpit
• tamokill12.foundry-pdf-extensión
• turbobase.sql-turbo-herramienta
• vce-brendan-studio-eich.js-depurador-vscode

GlassWorm es el nombre que se le da a un Campaña de malware en curso que se ha infiltrado repetidamente en Microsoft Visual Studio Marketplace y Open VSX con extensiones maliciosas diseñadas para robar secretos y vaciar carteras de criptomonedas, y abusar de los sistemas infectados como servidores proxy para otras actividades delictivas.

Aunque Koi Security detectó por primera vez la actividad en octubre de 2025, los paquetes npm que utilizaban las mismas tácticas, en particular el uso de caracteres Unicode invisibles para ocultar código malicioso, fueron detectados. identificado ya en marzo de 2025.

La última versión conserva muchas de las características asociadas con GlassWorm: ejecutar comprobaciones para evitar infectar sistemas con una configuración regional rusa y usar transacciones de Solana como un solucionador de caídas para recuperar el servidor de comando y control (C2) para mejorar la resiliencia.

Pero el nuevo conjunto de extensiones también presenta una mayor ofuscación y rota las billeteras de Solana para evadir la detección, además de abusar de las relaciones de extensión para implementar cargas útiles maliciosas, de manera similar a cómo los paquetes npm dependen de dependencias no autorizadas para pasar desapercibidas. Independientemente de si una extensión está declarada como «extensionPack» o «extensionDependencies» en el archivo «package.json» de la extensión, el editor procede a instalar todas las demás extensiones enumeradas en él.

Al hacerlo, la campaña GlassWorm utiliza una extensión como instalador de otra extensión maliciosa. Esto también abre nuevos escenarios de ataque a la cadena de suministro, ya que un atacante primero carga una extensión VS Code completamente inofensiva en el mercado para eludir la revisión, después de lo cual se actualiza para incluir un paquete vinculado a GlassWorm como una dependencia.

«Como resultado, una extensión que parecía no transitiva y comparativamente benigna en la publicación inicial puede convertirse más tarde en un vehículo de entrega transitivo de GlassWorm sin ningún cambio en su propósito aparente», dijo Socket.

En un aviso simultáneo, Aikido atribuyó al actor de amenazas GlassWorm a una campaña masiva que se está extendiendo a través de repositorios de código abierto, en la que los atacantes inyectan varios repositorios con caracteres Unicode invisibles para codificar una carga útil. Si bien el contenido no es visible cuando se carga en editores de código y terminales, se decodifica en un cargador que es responsable de buscar y ejecutar un script de segunda etapa para robar tokens, credenciales y secretos.

Se estima que no menos de 151 repositorios de GitHub se vieron afectados como parte de la campaña entre el 3 y el 9 de marzo de 2026. Además, la misma técnica Unicode se implementó en dos paquetes npm diferentes, lo que indica un impulso coordinado y multiplataforma:

• @aifabrix/miso-cliente
• @iflow-mcp/watercrawl-watercrawl-mcp

«Las inyecciones maliciosas no llegan en confirmaciones evidentemente sospechosas», afirma el investigador de seguridad Ilyas Makari dicho. «Los cambios circundantes son realistas: ajustes en la documentación, mejoras en la versión, pequeñas refactorizaciones y correcciones de errores que son estilísticamente consistentes con cada proyecto objetivo. Este nivel de adaptación específica del proyecto sugiere fuertemente que los atacantes están usando grandes modelos de lenguaje para generar compromisos de cobertura convincentes».

¿PhantomRaven o experimento de investigación?

El desarrollo surge como Endor Labs. dicho Descubrió 88 nuevos paquetes npm maliciosos cargados en tres oleadas entre noviembre de 2025 y febrero de 2026 a través de 50 cuentas desechables. Los paquetes vienen con funcionalidad para robar información confidencial de la máquina comprometida, incluidas variables de entorno, tokens CI/CD y metadatos del sistema.

La actividad se destaca por el uso de dependencias dinámicas remotas (RDD), donde el archivo de metadatos «package.json» especifica una dependencia en una URL HTTP personalizada, lo que permite a los operadores modificar el código malicioso sobre la marcha, así como evitar la inspección.

Si bien los paquetes fueron identificados inicialmente como parte del PhantomRaven campañala empresa de seguridad de aplicaciones señaló en una actualización que fueron producidas por un investigador de seguridad como parte de un experimento legítimo, afirmación que cuestionó, citando tres señales de alerta. Esto incluye el hecho de que las bibliotecas recopilan mucha más información de la necesaria, no brindan transparencia al usuario y se publican mediante nombres de cuentas y direcciones de correo electrónico rotados deliberadamente.

A partir del 12 de marzo de 2026, el propietario de los paquetes realizó cambios adicionales, intercambiando la carga útil de recolección de datos entregada a través de algunos de los paquetes npm publicados durante el período de tres meses con un simple «¡Hola, mundo!» Mensaje.

«Si bien la eliminación del código que recopilaba información extensa es ciertamente bienvenida, también resalta los riesgos asociados con las dependencias de URL», dijo Endor Labs. «Cuando los paquetes dependen de código alojado fuera del registro npm, los autores conservan el control total sobre la carga útil sin publicar una nueva versión del paquete. Al modificar un solo archivo en el servidor – o simplemente cerrarlo – pueden cambiar o deshabilitar silenciosamente el comportamiento de cada paquete dependiente a la vez».