{"id":678,"date":"2026-04-27T15:20:43","date_gmt":"2026-04-27T15:20:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/investigadores-descubren-73-extensiones-de-codigo-vs-falsas-que-entregan-malware-glassworm-v2-cyberdefensa-mx\/"},"modified":"2026-04-27T15:20:43","modified_gmt":"2026-04-27T15:20:43","slug":"investigadores-descubren-73-extensiones-de-codigo-vs-falsas-que-entregan-malware-glassworm-v2-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/investigadores-descubren-73-extensiones-de-codigo-vs-falsas-que-entregan-malware-glassworm-v2-cyberdefensa-mx\/","title":{"rendered":"Investigadores descubren 73 extensiones de c\u00f3digo VS falsas que entregan malware GlassWorm v2 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han detectado docenas de extensiones de Microsoft Visual Studio Code (VS Code) en el repositorio Open VSX que est\u00e1n vinculadas a una campa\u00f1a persistente de robo de informaci\u00f3n denominada <strong>gusano de cristal<\/strong>.<\/p>\n<p>El grupo de 73 extensiones ha sido identificado como versiones clonadas de sus contrapartes leg\u00edtimas. De estos, se ha confirmado que seis son maliciosos, y el resto act\u00faa como paquetes durmientes aparentemente inofensivos para que los usuarios los descarguen y generen confianza, antes de que su verdadera intenci\u00f3n se manifieste a trav\u00e9s de una actualizaci\u00f3n posterior.<\/p>\n<p>Todas las extensiones fueron <a href=\"https:\/\/socket.dev\/blog\/73-open-vsx-sleeper-extensions-glassworm\">publicado<\/a> a principios de mes, seg\u00fan la empresa de seguridad de aplicaciones Socket, que est\u00e1 rastreando la \u00faltima versi\u00f3n bajo el nombre <a href=\"https:\/\/socket.dev\/supply-chain-attacks\/glassworm-v2\">Gusano de vidrio v2<\/a>. En total, se han identificado m\u00e1s de 320 artefactos desde el 21 de diciembre de 2025. La lista de extensiones identificadas como maliciosas se detalla a continuaci\u00f3n:<\/p>\n<ul>\n<li>outsidestormcommand.monocromador-tema<\/li>\n<li>keyacrosslaud.auto-loop-para-antigravedad<\/li>\n<li>krundoven.ironplc-fast-hub<\/li>\n<li>boulderzitunnel.vscode-amigos<\/li>\n<li>cubedivervolt.html-c\u00f3digo-validar<\/li>\n<li>ganadordominio17.versi\u00f3n-lens-herramienta<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-agentic-guide-d-3\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgKLSgj9Smgyqpn4Kj-zAzWxJG1LUku8TpOERMxD6_hmMZQtXRFYXU-NA2ocnjrRafjkLtrxujKRuBstSZ4Il5z6hOu4oa7UM1FjkNoRQqrF5MWlShygYIqpnMGxHX2RHEBh9Y40x-p4PKn3cSlaWTEwKiVBDSoJgLPzR09dmp8HBffLlIqro73HVD30D00\/s728-e100\/nudge-d-3.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Los durmientes clonados, adem\u00e1s de escribir errores en los nombres de los paquetes originales (CEINTL.vscode-language-pack-tr vs. Emotionkyoseparate.turkish-language-pack), usan el mismo icono y descripci\u00f3n que sus correspondientes versiones leg\u00edtimas en un intento de enga\u00f1ar a los desarrolladores desprevenidos y enga\u00f1arlos para que instalen las extensiones.<\/p>\n<p>Esta \u00abconfianza visual\u00bb act\u00faa como una t\u00e1ctica eficaz de ingenier\u00eda social para aumentar el n\u00famero de instalaciones de forma org\u00e1nica antes de que se envenene para distribuir malware a los usuarios posteriores.<\/p>\n<p>La revelaci\u00f3n se produce cuando los actores de amenazas detr\u00e1s de la campa\u00f1a est\u00e1n evolucionando activamente su modus operandi, recurriendo a paquetes durmientes y dependencias transitivas para evadir la detecci\u00f3n, mientras usan simult\u00e1neamente droppers basados \u200b\u200ben Zig para implementar una extensi\u00f3n VSIX secundaria alojada en GitHub que puede infectar todos los entornos de desarrollo integrados (IDE) en la m\u00e1quina de un desarrollador.<\/p>\n<p>Las extensiones identificadas por Socket act\u00faan como un cargador inocuo para la carga \u00fatil real, que es una extensi\u00f3n VSIX que se recupera de GitHub y se instala en cada IDE identificado en el sistema, incluidos VS Code, Cursor, Windsurf y VSCodium, utilizando el comando \u00ab\u2013install-extension\u00bb.<\/p>\n<p>Independientemente del m\u00e9todo utilizado, el objetivo final es el mismo: ejecutar malware que evite los sistemas rusos, robar datos confidenciales, instalar un troyano de acceso remoto (RAT) e implementar sigilosamente una extensi\u00f3n maliciosa basada en Chromium para desviar credenciales, marcadores y otra informaci\u00f3n.<\/p>\n<p>\u00abEste enfoque logra el mismo resultado que la variante basada en binario, pero mantiene la l\u00f3gica de entrega en JavaScript ofuscado\u00bb, dijo la compa\u00f1\u00eda. \u00abLa extensi\u00f3n act\u00faa como un cargador, mientras que la carga \u00fatil se recupera y ejecuta despu\u00e9s de la activaci\u00f3n\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han detectado docenas de extensiones de Microsoft Visual Studio Code (VS Code) en el repositorio Open VSX que est\u00e1n vinculadas a una campa\u00f1a persistente de robo de informaci\u00f3n denominada gusano de cristal. El grupo de 73 extensiones ha sido identificado como versiones clonadas de sus contrapartes leg\u00edtimas. De estos, se ha [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":589,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[376,24,394,59,314,295,882,80,60],"class_list":["post-678","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-codigo","tag-cyberdefensa-mx","tag-descubren","tag-entregan","tag-extensiones","tag-falsas","tag-glassworm","tag-investigadores","tag-malware"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/678","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=678"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/678\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/589"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=678"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=678"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=678"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}