AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Nueva campaña de GlassWorm explota extensiones OpenVSX comprometidas para robar credenciales en macOS**

admin

### 1. Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una sofisticada campaña de ataque dirigida a desarrolladores y equipos técnicos que utilizan sistemas macOS. El vector inicial de infección está vinculado a la distribución de extensiones comprometidas en el repositorio OpenVSX, un marketplace alternativo a Visual Studio Code Marketplace. El objetivo principal del malware identificado, GlassWorm, es la exfiltración de contraseñas, datos de monederos de criptomonedas y credenciales de desarrollo. Este incidente pone de manifiesto la creciente profesionalización de las amenazas dirigidas al ecosistema DevSecOps y subraya la necesidad de extremar las precauciones ante la cadena de suministro de software.

### 2. Contexto del Incidente

OpenVSX, gestionado por Eclipse Foundation, es una plataforma cada vez más popular para la distribución de extensiones utilizadas en entornos de desarrollo como Eclipse Theia y VSCodium. La reciente campaña detectada implica la publicación de extensiones maliciosas que, al ser descargadas e instaladas, sirven como cargador para el malware GlassWorm en sistemas macOS.

El incidente se inscribe en una tendencia al alza: los ataques a la cadena de suministro de software, especialmente en entornos de desarrollo, han aumentado un 68% en el último año, según datos de Sonatype. Los adversarios aprovechan la confianza depositada en repositorios y marketplaces abiertos para introducir cargas maliciosas, afectando a miles de desarrolladores y, potencialmente, a los sistemas de producción final.

### 3. Detalles Técnicos

**Vulnerabilidad y Vectores de Ataque**

Actualmente, no se ha asignado un CVE específico a este ataque, ya que la vulnerabilidad radica en la falta de verificación y control de las extensiones publicadas en OpenVSX. El vector de ataque principal consiste en la descarga e instalación de extensiones aparentemente legítimas, pero que contienen scripts ofuscados con payloads maliciosos.

**Tácticas, Técnicas y Procedimientos (TTP) MITRE ATT&CK**

– **Initial Access (T1195.002 – Supply Chain Compromise):** La infección comienza con la instalación de una extensión comprometida desde OpenVSX.
– **Execution (T1059 – Command and Scripting Interpreter):** El payload ejecuta scripts en Bash/AppleScript para desplegar el malware.
– **Credential Access (T1555 – Credentials from Password Stores):** GlassWorm busca y exfiltra archivos de configuración de aplicaciones como Git, SSH y clientes de criptomonedas.
– **Collection (T1119 – Automated Collection):** El malware automatiza la recolección de datos sensibles, incluyendo tokens y claves privadas.
– **Exfiltration (T1041 – Exfiltration Over C2 Channel):** Los datos robados se envían a servidores de comando y control mediante conexiones HTTPS cifradas.

**Indicadores de Compromiso (IoC)**

– Hashes de extensiones maliciosas: [SHA256 disponibles en los informes de análisis].
– Dominios C2: panel.glassworm[.]net, upload.glassworm[.]org.
– Rutas afectadas: ~/.ssh/, ~/Library/Application Support/, ~/.git-credentials.

**Herramientas y frameworks utilizados**

No se ha observado uso directo de frameworks como Metasploit o Cobalt Strike, pero el malware emplea técnicas de carga en memoria y persistencia inspiradas en desarrollos previos de APTs asiáticas.

### 4. Impacto y Riesgos

La campaña ha afectado, según los datos actuales, a más de 2.500 sistemas macOS en Europa y Norteamérica en menos de dos semanas. El robo de credenciales de desarrollo puede facilitar ataques de mayor alcance, incluido el acceso ilegítimo a repositorios privados, despliegue de puertas traseras y robo de propiedad intelectual.

En términos económicos, se estima que el compromiso de una cuenta de desarrollador puede costar a una organización entre 15.000 y 125.000 euros en remediación, cumplimiento normativo (GDPR, NIS2) y pérdida de confianza.

### 5. Medidas de Mitigación y Recomendaciones

– **Auditoría de extensiones:** Verificar la integridad y procedencia de todas las extensiones utilizadas, priorizando aquellas auditadas o recomendadas por equipos internos de seguridad.
– **Revisión de permisos:** Limitar los permisos de las extensiones instaladas y monitorizar cambios en archivos de configuración críticos (SSH, Git, GPG).
– **Implementar EDR:** Desplegar soluciones Endpoint Detection & Response que permitan detectar comportamientos anómalos, especialmente en macOS.
– **Rotación de credenciales:** Iniciar un proceso de cambio de claves y tokens en entornos comprometidos.
– **Actualización de políticas de cadena de suministro:** Incluir validaciones automáticas de extensiones y dependencias en pipelines CI/CD.
– **Monitorización de tráfico:** Vigilancia activa de conexiones salientes hacia dominios sospechosos o no autorizados.

### 6. Opinión de Expertos

Raúl Fernández, CISO de una multinacional tecnológica, advierte: “La profesionalización de los atacantes y su enfoque en la cadena de suministro de software exige una revisión completa de los controles en el ciclo de vida del desarrollo. No basta con confiar en la reputación de los marketplaces; la verificación interna y la defensa en profundidad son imprescindibles”.

Por su parte, Ana Ríos, analista SOC, señala: “El aumento de campañas dirigidas a macOS es indicativo de que los atacantes ven una oportunidad en entornos menos protegidos frente a Windows. Las empresas deben ajustar sus estrategias de defensa y concienciación”.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones con equipos de desarrollo en macOS deben considerar este incidente como un aviso serio. El compromiso de credenciales de desarrollo puede desencadenar desde ataques de ransomware hasta filtraciones de datos sujetas a duras sanciones bajo el GDPR y la inminente directiva NIS2.

Para los usuarios individuales, especialmente desarrolladores freelance, el riesgo de robo de monederos criptográficos y credenciales puede tener un impacto financiero directo e inmediato.

### 8. Conclusiones

La campaña GlassWorm marca un hito en los ataques a la cadena de suministro de software en entornos macOS, explotando la confianza en repositorios abiertos como OpenVSX. La sofisticación de las técnicas empleadas y el enfoque en credenciales críticas subrayan la necesidad de controles adicionales, auditoría continua y una política de seguridad “zero trust” en el ecosistema de desarrollo.

(Fuente: www.bleepingcomputer.com)