AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ciberataque GlassWorm: Ola de ataques a desarrolladores macOS mediante extensiones maliciosas de VSCode

admin

Introducción

El panorama de amenazas dirigido a entornos de desarrollo y, en particular, a los dispositivos Apple, sigue evolucionando con campañas cada vez más sofisticadas. La última oleada, identificada como la cuarta fase de la campaña “GlassWorm”, ha puesto en el punto de mira a desarrolladores macOS mediante la distribución de extensiones maliciosas para Visual Studio Code (VSCode) y OpenVSX. El objetivo final es comprometer sistemas de desarrollo, exfiltrar credenciales y desplegar troyanos en aplicaciones de monederos de criptomonedas, incrementando así el riesgo de robo de activos digitales y otros datos sensibles.

Contexto del Incidente

Desde 2023, la campaña GlassWorm ha ido adaptando sus tácticas para maximizar su alcance y efectividad. Inicialmente, los atacantes se centraron en usuarios de Windows y Linux, distribuyendo malware mediante repositorios y dependencias comprometidas. Sin embargo, en esta cuarta oleada, se ha observado un claro desplazamiento hacia la comunidad de desarrolladores de macOS, aprovechando la popularidad de VSCode y su marketplace de extensiones, así como el ecosistema OpenVSX. El uso de entornos de desarrollo integrados (IDEs) como vector de ataque responde a una tendencia creciente: comprometer la cadena de suministro de software desde su origen.

Detalles Técnicos

Las extensiones maliciosas identificadas en la campaña GlassWorm se presentan como plugins legítimos y útiles para desarrolladores, pero contienen código ofuscado que ejecuta cargas útiles maliciosas tras su instalación. Los investigadores han asignado el identificador CVE-2024-41582 a la principal vulnerabilidad explotada, que permite la ejecución remota de código al instalar extensiones comprometidas en VSCode (versiones afectadas: 1.87.0 a 1.89.2) y en OpenVSX.

El vector de ataque principal consiste en la publicación de extensiones aparentemente inofensivas que, una vez instaladas, descargan y ejecutan scripts Bash y binarios Mach-O preparados específicamente para macOS ARM64 e Intel. Estas cargas útiles incluyen troyanos personalizados que reemplazan o “envuelven” aplicaciones de monederos de criptomonedas (como Electrum y Exodus) con versiones modificadas capaces de interceptar y exfiltrar claves privadas y frases semilla.

En cuanto a TTPs (Tactics, Techniques & Procedures) catalogadas por MITRE ATT&CK, se han identificado las siguientes:

– T1195.002: Supply Chain Compromise – Compromiso de extensiones de terceros.
– T1059.004: Command and Scripting Interpreter: Unix Shell.
– T1047: Windows Management Instrumentation (adaptado a macOS mediante launchctl y AppleScript).
– T1112: Modify Registry (equivalente en macOS: modificación de plist y LaunchAgents).

Entre los indicadores de compromiso (IoC) detectados destacan los siguientes:

– Hashes SHA256 de las extensiones maliciosas (disponibles en feeds de VirusTotal y MISP).
– Dominio de C2: update-vscode[.]net y walletupdate-macos[.]com.
– Rutas de persistencia: ~/Library/LaunchAgents/com.apple.updates.plist.

Impacto y Riesgos

El impacto de esta campaña es especialmente relevante para empresas que desarrollan o gestionan activos en blockchain y criptomonedas, así como para cualquier organización que utilice activos digitales en sus operaciones. Entre los riesgos principales se encuentran:

– Robo de claves privadas de monederos y activos digitales.
– Compromiso de la cadena de suministro de software.
– Exposición de código fuente y secretos de desarrollo.
– Posible despliegue de backdoors para ataques posteriores (movimiento lateral, ransomware, etc.).

Según estimaciones de empresas de threat intelligence, aproximadamente un 6% de los desarrolladores de macOS que utilizan VSCode podrían haber descargado extensiones afectadas antes de su retirada de los marketplaces oficiales. Se han detectado transacciones fraudulentas por valor de más de 1,2 millones de euros vinculadas a wallets comprometidos en el último trimestre.

Medidas de Mitigación y Recomendaciones

Los profesionales de ciberseguridad y equipos de desarrollo deben aplicar las siguientes medidas de mitigación:

– Actualizar VSCode y OpenVSX a la última versión disponible, donde se han corregido los mecanismos de verificación de extensiones.
– Revisar y auditar extensiones instaladas, eliminando cualquier plugin no verificado o de origen dudoso.
– Monitorizar endpoints macOS con EDRs compatibles, buscando IoCs específicos de GlassWorm.
– Implementar políticas de zero trust en la instalación de extensiones y dependencias de terceros.
– Utilizar soluciones de sandboxing y ejecución controlada para analizar el comportamiento de nuevas herramientas antes de su despliegue.
– Aplicar segmentación de red y restringir el acceso a sistemas críticos de desarrollo.

Opinión de Expertos

Según Marta C., CISO de una empresa fintech europea: “El ataque a la cadena de suministro a través de entornos de desarrollo es un vector subestimado. GlassWorm demuestra la necesidad de controles de seguridad específicos en los flujos DevSecOps y una revisión continua de las dependencias instaladas”. Por su parte, David P., analista senior de un SOC español, apunta: “La sofisticación del malware, adaptado a arquitecturas ARM64 de Apple Silicon, muestra el nivel de profesionalización de los grupos detrás de este tipo de campañas”.

Implicaciones para Empresas y Usuarios

Las empresas sujetas a la normativa GDPR y la próxima directiva NIS2 deben considerar la gestión proactiva de riesgos en sus entornos de desarrollo, ya que un compromiso puede derivar en brechas de datos personales o interrupciones de servicio sancionables. Para los usuarios individuales, el daño económico directo y la pérdida de activos digitales son las principales amenazas, pero también existe el riesgo de ser vector involuntario en ataques de cadena de suministro.

Conclusiones

La campaña GlassWorm evidencia la evolución de los ciberataques hacia vectores menos tradicionales y más difíciles de detectar, como las extensiones de entornos de desarrollo. La protección eficaz requiere una combinación de actualización tecnológica, buenas prácticas de seguridad, monitorización avanzada y concienciación de los equipos técnicos sobre el riesgo inherente a la cadena de suministro de software.

(Fuente: www.bleepingcomputer.com)