Más de 70 extensiones de VS Code en Open VSX vinculadas a campaña de robo de información GlassWorm

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido alertada sobre una campaña de robo de información de alcance global que afecta directamente al ecosistema de desarrollo de software. Investigadores han identificado más de 70 extensiones de Microsoft Visual Studio Code (VS Code) disponibles en el repositorio Open VSX que están asociadas a una operación persistente, bautizada como GlassWorm. Este ataque supone una amenaza considerable para desarrolladores, equipos DevSecOps y responsables de seguridad TI, dada la popularidad y la amplia adopción de VS Code en entornos empresariales y de código abierto.

Contexto del Incidente

El incidente fue detectado tras la revisión de un conjunto de 73 extensiones en Open VSX, un repositorio alternativo al marketplace oficial de Microsoft para extensiones de VS Code. Estas extensiones, en su mayoría, son clones de proyectos legítimos ampliamente utilizados por la comunidad de desarrolladores. De ellas, al menos seis han sido confirmadas como maliciosas, mientras que el resto actúan como software aparentemente benigno, pero que podrían ser activadas o modificadas posteriormente para actividades maliciosas.

El vector de ataque aprovecha la confianza de los usuarios en extensiones populares, facilitando la propagación del malware de forma sigilosa y dificultando su detección temprana. Esta estrategia es coherente con el uso de técnicas de suplantación y persistencia ya observadas en otras campañas recientes, como la denominada «Typosquatting» en ecosistemas de paquetes como npm o PyPI.

Detalles Técnicos

Las extensiones asociadas a GlassWorm han sido identificadas por investigadores a través de IoCs (Indicators of Compromise) como nombres de archivos anómalos, certificados digitales manipulados y patrones de comportamiento sospechosos. En concreto, las extensiones maliciosas descargan y ejecutan payloads adicionales tras la instalación, empleando técnicas de Living-off-the-Land (LotL) y abuso de scripts legítimos presentes en entornos Windows y Linux.

El análisis forense revela que la campaña utiliza técnicas alineadas con MITRE ATT&CK, destacando:

– T1195 (Supply Chain Compromise): Compromiso a través de repositorios de software de confianza.
– T1071 (Application Layer Protocol): Uso de HTTP/HTTPS para exfiltrar credenciales, tokens de acceso y otros datos sensibles.
– T1059 (Command and Scripting Interpreter): Ejecución de scripts PowerShell o Bash.
– T1027 (Obfuscated Files or Information): Ofuscación de código en extensiones y payloads.

La mayoría de las extensiones maliciosas detectadas presentan versiones entre la 1.0.1 y la 1.2.4, con descripciones y metadatos copiados casi literalmente de los proyectos originales. Los exploits conocidos emplean frameworks como Metasploit para la creación de reverse shells y Cobalt Strike para la gestión de C2 (Command & Control).

Impacto y Riesgos

El alcance del ataque es significativo: se estima que las extensiones maliciosas han sido descargadas por miles de usuarios y organizaciones, facilitando el robo de credenciales, archivos de configuración (por ejemplo, .env, .git-credentials) y claves SSH. Entre los principales riesgos se encuentran:

– Compromiso completo de estaciones de trabajo de desarrolladores.
– Movimientos laterales en infraestructuras corporativas a través de credenciales robadas.
– Pérdida de propiedad intelectual y exposición de código fuente confidencial.
– Potencial impacto en la cadena de suministro de software, en línea con los requisitos de seguridad de la Directiva NIS2 y GDPR en materia de protección de datos personales y notificación de incidentes.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan una serie de acciones inmediatas y preventivas:

1. Auditoría de extensiones instaladas: Verificar la procedencia y autenticidad de todas las extensiones de VS Code, especialmente las instaladas desde Open VSX.
2. Monitorización de IoCs: Implementar reglas YARA y alertas en SIEM para detectar los hashes y comportamientos asociados a GlassWorm.
3. Políticas de whitelisting: Limitar la instalación de extensiones únicamente a repositorios oficiales y versiones verificadas.
4. Actualización de herramientas EDR/XDR: Asegurar la cobertura frente a técnicas de exfiltración y persistencia detectadas en la campaña.
5. Formación y concienciación de desarrolladores sobre los riesgos de la cadena de suministro.

Opinión de Expertos

Analistas de ciberseguridad como Daniel López (CISO de una multinacional tecnológica) subrayan: “Este incidente demuestra que la seguridad en la cadena de suministro va mucho más allá de los sistemas tradicionales y afecta directamente a las herramientas de desarrollo. La confianza ciega en extensiones y paquetes es un lujo que ya no nos podemos permitir”.

Por su parte, desde el CERT europeo se destaca la importancia de la compartición de información y la colaboración entre empresas afectadas para acelerar la respuesta y mitigación de este tipo de amenazas.

Implicaciones para Empresas y Usuarios

Las empresas que dependen de VS Code y Open VSX deben revisar urgentemente sus procesos de gestión de extensiones y software de desarrollo. No solo está en juego la integridad de las estaciones de trabajo, sino también la seguridad de los pipelines CI/CD y, en última instancia, de los productos entregados a clientes y usuarios finales. La exposición a incidentes como GlassWorm puede derivar en sanciones regulatorias bajo GDPR y NIS2, así como en daños reputacionales y económicos difíciles de cuantificar.

Conclusiones

El caso GlassWorm pone de manifiesto la creciente sofisticación de los ataques dirigidos a la cadena de suministro de software y la necesidad de adoptar una postura proactiva y vigilante en la gestión de herramientas de desarrollo. La colaboración entre equipos de seguridad, desarrolladores y responsables de cumplimiento normativo será clave para minimizar el impacto de este tipo de amenazas en un entorno cada vez más interconectado y expuesto.

(Fuente: feeds.feedburner.com)