Más de 70 extensiones clonadas de Open VSX vinculadas a la distribución del malware GlassWorm

Introducción

La cadena de suministro de software sigue siendo uno de los vectores de ataque preferidos por los actores de amenazas, y en las últimas semanas se ha detectado una nueva campaña dirigida a desarrolladores y empresas que emplean entornos de desarrollo integrados (IDE) basados en Visual Studio Code y Open VSX. Más de 70 extensiones clonadas y maliciosas han sido identificadas en Open VSX Registry, todas ellas relacionadas con la propagación del malware GlassWorm, una amenaza avanzada que busca comprometer sistemas de desarrollo y entornos empresariales.

Contexto del Incidente o Vulnerabilidad

Open VSX Registry es una plataforma de código abierto ampliamente utilizada para la distribución de extensiones compatibles con IDEs como Eclipse Theia y VSCodium, alternativas populares a Visual Studio Code. El incidente salió a la luz cuando equipos de threat hunting detectaron la proliferación de extensiones aparentemente legítimas, pero clonadas de repositorios originales, que contenían cargas maliciosas ocultas.

El vector de ataque aprovecha la confianza de los desarrolladores en los ecosistemas de extensiones, así como la tendencia a instalar complementos que replican funcionalidades populares. Esto se traduce en una superficie de ataque significativa, ya que muchas organizaciones no aplican políticas estrictas de revisión y validación de extensiones de sus entornos de desarrollo.

Detalles Técnicos

Las extensiones clonadas identificadas superan las 70 y replican la funcionalidad, nombre y descripciones de extensiones originales, lo que dificulta su detección por parte de usuarios poco atentos. Sin embargo, los paquetes maliciosos incluyen scripts ofuscados que, al ser ejecutados, descargan y ejecutan el malware GlassWorm desde servidores remotos.

La campaña se encuentra actualmente bajo análisis, pero los artefactos detectados muestran la presencia de troyanos de acceso remoto (RAT), módulos para la exfiltración de credenciales, y componentes que permiten el movimiento lateral en redes internas. El malware GlassWorm, documentado previamente en campañas de espionaje, ha sido adaptado para explotar el entorno de desarrollo y las credenciales almacenadas en estos sistemas.

– CVEs relacionados: Aunque no existe un CVE específico para la campaña, la explotación se fundamenta en la confianza en la cadena de suministro de extensiones y la falta de validación de integridad.
– Vectores de ataque: Ingeniería social (suplantación de extensiones), ejecución de scripts postinstalación, descarga de payloads remotos.
– TTPs (MITRE ATT&CK): T1195 (Supply Chain Compromise), T1204 (User Execution), T1566 (Phishing), T1027 (Obfuscated Files or Information), T1071 (Application Layer Protocol).
– Indicadores de compromiso (IoC): Dominios de C2 observados, hashes de extensiones maliciosas, rutas de descarga remota y artefactos de GlassWorm.

Impacto y Riesgos

El impacto de esta campaña es notable, dado que afecta directamente a la cadena de suministro de software, comprometiendo entornos de desarrollo críticos. Una extensión maliciosa en el IDE puede otorgar acceso total a los proyectos, credenciales y secretos gestionados por los desarrolladores. Además, el despliegue de GlassWorm permite a los atacantes realizar movimientos laterales, exfiltrar información confidencial y desplegar cargas adicionales, como ransomware o bots de minería de criptomonedas.

Según estimaciones iniciales, alrededor de un 10-15% de las extensiones más populares en Open VSX han sido objeto de clonación maliciosa, con potenciales descargas que superan las 5.000 instalaciones antes de la retirada de algunos paquetes. El riesgo se ve agravado en entornos DevOps y CI/CD, donde la automatización puede propagar el compromiso a múltiples sistemas y etapas del ciclo de vida del software.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de campañas similares, se recomienda a los equipos de seguridad y desarrollo:

– Restringir la instalación de extensiones a repositorios oficiales y validar la integridad de los paquetes mediante firmas digitales.
– Implementar políticas de allowlisting para extensiones aprobadas y auditar periódicamente las instalaciones existentes en los IDEs corporativos.
– Monitorizar el tráfico de red en busca de conexiones anómalas a dominios C2 relacionados con GlassWorm.
– Analizar los logs de instalación de extensiones en busca de scripts postinstalación sospechosos o no documentados.
– Mantener actualizado el inventario de endpoints y aplicar soluciones EDR con capacidades de análisis bajo demanda en estaciones de desarrollo.

Opinión de Expertos

Expertos en ciberseguridad como el equipo de investigación de SecurityWeek y analistas independientes han advertido que «la cadena de suministro de software sigue siendo una de las debilidades estructurales más explotadas por los actores de amenazas», subrayando la necesidad de cambiar el paradigma de confianza en los ecosistemas de extensiones. «No basta con confiar en la reputación; es imprescindible validar la procedencia, integridad y comportamiento de cualquier software adicional instalado en entornos de desarrollo», añaden.

Implicaciones para Empresas y Usuarios

Las organizaciones afectadas por esta campaña podrían enfrentarse a brechas de datos que violen el RGPD (Reglamento General de Protección de Datos) y la Directiva NIS2, así como a compromisos operativos en la cadena de suministro. Para los usuarios individuales, el riesgo reside en la exposición de credenciales y proyectos personales, facilitando ataques dirigidos o el robo de propiedad intelectual.

Conclusiones

La proliferación de extensiones clonadas y maliciosas en Open VSX pone de manifiesto la necesidad urgente de fortalecer la seguridad en la cadena de suministro de software, especialmente en los entornos de desarrollo. La vigilancia activa, la educación en seguridad y el uso de herramientas de análisis automatizado son esenciales para frenar el avance de campañas como la de GlassWorm, que aprovecha la confianza y la falta de controles estrictos en los repositorios de extensiones.

(Fuente: www.securityweek.com)