{"id":523,"date":"2026-04-10T15:09:54","date_gmt":"2026-04-10T15:09:54","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/10\/la-campana-glassworm-utiliza-zig-dropper-para-infectar-multiples-ide-de-desarrolladores-cyberdefensa-mx\/"},"modified":"2026-04-10T15:09:54","modified_gmt":"2026-04-10T15:09:54","slug":"la-campana-glassworm-utiliza-zig-dropper-para-infectar-multiples-ide-de-desarrolladores-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/10\/la-campana-glassworm-utiliza-zig-dropper-para-infectar-multiples-ide-de-desarrolladores-cyberdefensa-mx\/","title":{"rendered":"La campa\u00f1a GlassWorm utiliza Zig Dropper para infectar m\u00faltiples IDE de desarrolladores \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han se\u00f1alado otra evoluci\u00f3n m\u00e1s de la actual gusano de cristal<\/strong> campa\u00f1a, que emplea un nuevo cuentagotas Zig que est\u00e1 dise\u00f1ado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en la m\u00e1quina de un desarrollador.<\/p>\n

La t\u00e9cnica ha sido descubierta en una extensi\u00f3n Open VSX llamada \u00abspecstudio.code-wakatime-actividad-rastreador<\/a>\u00ab, que se hace pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan dentro de su IDE. La extensi\u00f3n ya no est\u00e1 disponible para descargar.<\/p>\n

\u00abLa extensi\u00f3n [\u2026] env\u00eda un binario nativo compilado por Zig junto con su c\u00f3digo JavaScript\u00bb, dijo el investigador de Aikido Security, Ilyas Makari. dicho<\/a> en un an\u00e1lisis publicado esta semana.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEsta no es la primera vez que GlassWorm recurre al uso c\u00f3digo compilado nativo<\/a> en extensiones. Sin embargo, en lugar de utilizar el binario como carga \u00fatil directamente, se utiliza como una direcci\u00f3n indirecta sigilosa para el conocido dropper GlassWorm, que ahora infecta secretamente todos los dem\u00e1s IDE que puede encontrar en su sistema\u00bb.<\/p>\n

La extensi\u00f3n Microsoft Visual Studio Code (VS Code) recientemente identificada es casi una r\u00e9plica de WakaTime, salvo por un cambio introducido en una funci\u00f3n llamada \u00abactivate()\u00bb. La extensi\u00f3n instala un binario llamado \u00abwin.node\u00bb en sistemas Windows y \u00abmac.node\u00bb, un binario Mach-O universal si el sistema ejecuta Apple macOS.<\/p>\n

Estos complementos nativos de Node.js son bibliotecas compartidas compiladas que est\u00e1n escritas en Zig y se cargan directamente en el tiempo de ejecuci\u00f3n de Node y se ejecutan fuera del entorno limitado de JavaScript con acceso completo a nivel del sistema operativo.<\/p>\n

\"\"<\/a><\/div>\n

Una vez cargado, el objetivo principal del binario es encontrar todos los IDE del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, as\u00ed como bifurcaciones como VSCodium, Positron y una serie de herramientas de codificaci\u00f3n impulsadas por inteligencia artificial (IA) como Cursor y Windsurf.<\/p>\n

Luego, el binario descarga una extensi\u00f3n maliciosa de VS Code (.VSIX) desde un sitio controlado por el atacante. cuenta GitHub<\/a>. La extensi\u00f3n, llamada \u00abfloktokbok.autoimport\u00bb, se hace pasar por \u00abesteoteatos.autoimport<\/a>,\u00bb una extensi\u00f3n leg\u00edtima con m\u00e1s de 5 millones de instalaciones en el Visual Studio Marketplace oficial.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador CLI de cada editor. La extensi\u00f3n VS Code de segunda etapa act\u00faa como un gotero que evita la ejecuci\u00f3n en sistemas rusos, se comunica con la cadena de bloques de Solana para buscar el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensi\u00f3n de Google Chrome para robar informaci\u00f3n.<\/p>\n

Se recomienda a los usuarios que hayan instalado \u00abspecstudio.code-wakatime-activity-tracker\u00bb o \u00abfloktokbok.autoimport\u00bb que asuman un compromiso y roten todos los secretos.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad han se\u00f1alado otra evoluci\u00f3n m\u00e1s de la actual gusano de cristal campa\u00f1a, que emplea un nuevo cuentagotas Zig que est\u00e1 dise\u00f1ado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en la m\u00e1quina de un desarrollador. La t\u00e9cnica ha sido descubierta en una extensi\u00f3n Open VSX llamada \u00abspecstudio.code-wakatime-actividad-rastreador\u00ab, que se […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[133,24,53,1722,882,1724,1723,573,36,216,1721],"class_list":["post-523","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-campana","tag-cyberdefensa-mx","tag-desarrolladores","tag-dropper","tag-glassworm","tag-ide","tag-infectar","tag-multiples","tag-para","tag-utiliza","tag-zig"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/523","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=523"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/523\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=523"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=523"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=523"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}