AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Nueva variante de GlassWorm: el dropper Zig apunta a entornos de desarrollo con extensiones maliciosas

admin

Introducción

El panorama de amenazas dirigido a entornos de desarrollo ha dado un nuevo salto evolutivo con la aparición de una sofisticada variante de la campaña GlassWorm. Investigadores en ciberseguridad han identificado un dropper escrito en Zig, especialmente diseñado para infiltrar y comprometer todos los entornos de desarrollo integrados (IDE) en los sistemas de los desarrolladores. Esta táctica, detectada a través de una extensión Open VSX maliciosa que suplanta una herramienta legítima, representa un serio riesgo para la cadena de suministro de software y plantea desafíos significativos para los equipos de seguridad de las organizaciones tecnológicas.

Contexto del Incidente

La campaña GlassWorm lleva activa desde finales de 2023, centrando sus ataques en desarrolladores y administradores de sistemas a través de la distribución de extensiones y paquetes falsificados para IDEs populares. En su última iteración, los atacantes han aprovechado la plataforma Open VSX (un marketplace de extensiones abierto compatible con Visual Studio Code y otros IDEs basados en Eclipse Theia) para distribuir una extensión llamada “specstudio.code-wakatime-activity-tracker”. Esta extensión se hace pasar por WakaTime, una utilidad legítima de seguimiento de actividad, con el fin de ganar la confianza de los usuarios y superar los controles de seguridad superficiales.

Detalles Técnicos

La pieza central de este ataque es un dropper implementado en Zig, un lenguaje moderno que complica la detección para soluciones antivirus tradicionales acostumbradas a cargas maliciosas en C, Python o Go. El dropper, una vez ejecutado, realiza un escaneo exhaustivo del sistema en busca de instalaciones de IDEs compatibles (Visual Studio Code, Eclipse Theia, y otros) y despliega cargas útiles de segunda fase adaptadas a cada uno.

El vector de ataque inicial es la instalación de la extensión maliciosa desde Open VSX. Al activarse, la extensión descarga y ejecuta el dropper Zig desde un servidor de comando y control (C2) previamente comprometido. Esta pieza es responsable de:

– Enumerar entornos de desarrollo presentes en el sistema.
– Inyectar scripts persistentes o modificar archivos de configuración (como `settings.json` o `launch.json`) para garantizar la ejecución de payloads adicionales.
– Descargar troyanos de acceso remoto (RATs) y herramientas de post-explotación, como variantes personalizadas de Cobalt Strike y Metasploit Meterpreter.
– Exfiltrar información sensible, como tokens de API, credenciales almacenadas y código fuente.

En términos de TTPs (Técnicas, Tácticas y Procedimientos) según la matriz MITRE ATT&CK, la campaña GlassWorm hace uso de:

– T1195 (Supply Chain Compromise)
– T1059 (Command and Scripting Interpreter)
– T1543 (Create or Modify System Process)
– T1112 (Modify Registry)
– T1566 (Phishing vía herramientas legítimas)

Entre los indicadores de compromiso (IoC) detectados figuran hashes SHA256 de la extensión, rutas específicas en el sistema (`%USERPROFILE%.vscodeextensionsspecstudio.*`), y direcciones IP asociadas a la infraestructura C2 (principalmente en Europa del Este y Sudeste Asiático).

Impacto y Riesgos

El impacto potencial de esta campaña es elevado, ya que apunta directamente a la seguridad de la cadena de suministro de software. Según estimaciones de los investigadores, más del 15% de los desarrolladores que utilizan Open VSX podrían haber estado expuestos antes de que la extensión fuese retirada. Además, la persistencia lograda mediante scripts y cargas secundarias supone un riesgo de escalada lateral y movimiento interno dentro de redes corporativas.

Desde el punto de vista económico, los incidentes relacionados con la cadena de suministro de software pueden suponer pérdidas de hasta 4,45 millones de dólares por brecha (IBM Cost of a Data Breach Report 2023), sin contar el daño reputacional y los posibles incumplimientos de la normativa GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

– Auditar y restringir la instalación de extensiones a repositorios verificados y oficiales.
– Implementar detección avanzada basada en comportamiento para identificar actividades anómalas en IDEs.
– Mantener políticas de mínima confianza (“Zero Trust”) en entornos de desarrollo.
– Realizar análisis forense de los sistemas afectados, buscando los IoC publicados por los investigadores.
– Actualizar y reforzar las políticas de seguridad de la cadena de suministro conforme a los requisitos de NIS2 y GDPR.
– Educar a los desarrolladores sobre los riesgos de instalar extensiones de fuentes no verificadas.

Opinión de Expertos

Varios analistas de amenazas destacan la sofisticación de la campaña, especialmente por el uso de Zig como vector de evasión. “El empleo de lenguajes menos comunes es una tendencia al alza entre grupos APT para evitar la detección signature-based”, apunta un especialista de una firma europea de ciberseguridad. Otros expertos subrayan la importancia de revisar los procesos de validación y verificación de extensiones en marketplaces abiertos.

Implicaciones para Empresas y Usuarios

Las empresas tecnológicas y equipos de desarrollo deben considerar este incidente como una señal de alerta para revisar sus políticas de seguridad en la cadena de suministro, especialmente en proyectos críticos o expuestos a clientes europeos (por las exigencias de GDPR y NIS2). La confianza en extensiones de código abierto debe ir acompañada de controles adicionales y monitorización constante.

Conclusiones

La evolución de GlassWorm y su enfoque en IDEs mediante técnicas avanzadas de evasión refuerzan la urgencia de adoptar estrategias de defensa en profundidad y de mejorar la visibilidad sobre las herramientas empleadas por los desarrolladores. Solo una combinación de tecnología, formación y procesos sólidos permitirá minimizar el riesgo en un entorno cada vez más complejo.

(Fuente: feeds.feedburner.com)