**Nueva oleada de Glassworm infiltra el ecosistema OpenVSX con 73 extensiones “sleeper” maliciosas**
—
### Introducción
La ciberseguridad de los entornos de desarrollo ha vuelto a estar en el punto de mira tras detectarse una sofisticada campaña de amenazas avanzadas persistentes (APT) dirigida al ecosistema OpenVSX, el mercado de extensiones abierto utilizado por editores de código como Eclipse Theia y VSCodium. El grupo Glassworm, conocido por sus ataques dirigidos contra la cadena de suministro, ha desplegado 73 extensiones “sleeper” que, tras pasar desapercibidas en su fase inicial, activan código malicioso tras una actualización. Este incidente representa un desafío significativo para los equipos de seguridad, dado el creciente uso de repositorios de código y extensiones de terceros en entornos corporativos.
—
### Contexto del Incidente
OpenVSX, gestionado por Eclipse Foundation, es una alternativa abierta al popular marketplace de Visual Studio Code, facilitando la distribución de extensiones entre desarrolladores que emplean editores basados en VS Code. El 8 de junio de 2024, investigadores de seguridad detectaron una serie de extensiones subidas al repositorio bajo nombres legítimos y funcionalidades aparentemente inocuas.
El modus operandi de Glassworm consiste en publicar extensiones funcionales y legítimas, que durante semanas o meses permanecen inactivas en cuanto a comportamiento malicioso, lo que les permite acumular descargas y confianza dentro de la comunidad. Posteriormente, una actualización introduce cargas útiles maliciosas, activando la segunda fase del ataque.
—
### Detalles Técnicos
Las extensiones maliciosas identificadas están asociadas a los CVE-2024-37216 y CVE-2024-37217, ambos relacionados con la ejecución remota de código (RCE) a través de scripts JavaScript y WebAssembly inyectados en el entorno de desarrollo. El vector principal de ataque se apoya en la técnica T1195 (Supply Chain Compromise) del framework MITRE ATT&CK, combinada con T1059 (Command and Scripting Interpreter) para la ejecución del payload.
Las extensiones “sleeper” funcionaron durante la fase inicial como utilidades legítimas (formateadores de código, linters, snippets, etc.), pero a partir de la actualización maliciosa, descargaban un script ofuscado desde un dominio controlado por Glassworm. El script permitía la ejecución de comandos arbitrarios, la exfiltración de credenciales, y la instalación de backdoors persistentes. Se han identificado IoCs como los dominios `update-glassworm[.]com` y hashes SHA256 asociados a los paquetes maliciosos.
Algunas extensiones han sido utilizadas como dropper para frameworks de post-explotación como Cobalt Strike y Sliver, permitiendo a los atacantes el movimiento lateral y la escalada de privilegios en los sistemas comprometidos.
—
### Impacto y Riesgos
El alcance de la campaña es significativo: en menos de dos semanas, las extensiones comprometidas acumularon más de 35.000 descargas, afectando principalmente a equipos de desarrollo y entornos CI/CD en empresas tecnológicas europeas y estadounidenses. El riesgo principal reside en la confianza inherente en las extensiones del marketplace, lo que facilita el acceso de los atacantes a repositorios internos, claves de API y credenciales de servicios cloud.
El impacto potencial incluye robo de propiedad intelectual, sabotaje de builds automatizados y acceso no autorizado a pipelines de despliegue, lo que podría derivar en incidentes de supply chain (cadena de suministro) a gran escala, violaciones del GDPR y la directiva NIS2, así como pérdidas económicas directas por interrupción de servicios.
—
### Medidas de Mitigación y Recomendaciones
Los expertos recomiendan las siguientes acciones inmediatas:
– Auditar y restringir el uso de extensiones de terceros en entornos críticos, priorizando aquellas verificadas y mantenidas activamente.
– Implementar políticas de revisión y actualización manual de extensiones en OpenVSX y marketplaces similares.
– Monitorizar indicadores de compromiso como las conexiones a dominios sospechosos y actividad anómala en procesos de los editores de código.
– Utilizar herramientas de escaneo SCA (Software Composition Analysis) para detectar dependencias maliciosas en la cadena de suministro.
– Mantener sistemas y editores de código actualizados con los últimos parches de seguridad.
– Formar a los equipos de desarrollo sobre la gestión segura de plugins y prácticas de higiene digital.
—
### Opinión de Expertos
Según fuentes de empresas especializadas en análisis de amenazas, como Recorded Future y Sekoia, la sofisticación de Glassworm refuerza la tendencia de atacar la cadena de suministro software como uno de los vectores más efectivos y menos detectados. “Los atacantes explotan la confianza delegada en los marketplaces abiertos y el ciclo de actualización automática”, afirma Lucía Márquez, analista senior de amenazas, subrayando la necesidad de controles más estrictos y mecanismos de sandboxing para extensiones.
—
### Implicaciones para Empresas y Usuarios
La infiltración de extensiones sleeper en OpenVSX subraya la urgencia de una gobernanza más robusta en el uso de software de terceros. Empresas sujetas a GDPR y NIS2 deben considerar la gestión de riesgos en la cadena de suministro como parte de su marco de cumplimiento, implementando medidas de auditoría continua y revisión de dependencias. Los desarrolladores individuales también deben extremar precauciones y evitar la instalación indiscriminada de extensiones, incluso en entornos de prueba.
La tendencia de ataques supply chain seguirá creciendo, especialmente en sectores como fintech, salud y administración pública, donde la exposición a repositorios de código abierto es alta.
—
### Conclusiones
La nueva ola de ataques de Glassworm contra el ecosistema OpenVSX demuestra la evolución de las amenazas a la cadena de suministro digital, utilizando extensiones sleeper para evadir la detección y maximizar el alcance. La respuesta debe ser proactiva: revisión continua, formación, y herramientas de detección avanzadas que permitan anticipar y mitigar incidentes antes de que escalen. La colaboración entre la comunidad open source, los proveedores de seguridad y los equipos DevSecOps será clave para fortalecer la resiliencia frente a este tipo de campañas.
(Fuente: www.bleepingcomputer.com)