AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Nueva oleada de GlassWorm: Más de 10.000 instalaciones de extensiones maliciosas en Visual Studio Code

admin

Introducción

El ecosistema de desarrollo de software vuelve a ser objetivo de campañas de malware sofisticado. Tras el impacto inicial de GlassWorm el mes pasado en los marketplaces de OpenVSX y Visual Studio Code, la amenaza ha resurgido con una estrategia renovada. En esta ocasión, tres nuevas extensiones maliciosas han conseguido superar los controles de seguridad de Visual Studio Code, alcanzando más de 10.000 descargas antes de ser detectadas. Este incidente subraya la creciente sofisticación de los actores de amenazas enfocados en la cadena de suministro de software y la necesidad de reforzar las medidas de seguridad en los entornos de desarrollo.

Contexto del Incidente

GlassWorm es una campaña de malware identificada recientemente que se caracteriza por la distribución de código malicioso a través de extensiones de marketplaces oficiales, explotando la confianza de los desarrolladores en estos repositorios. El ataque inicial, detectado en mayo de 2024, afectó tanto a OpenVSX como al marketplace oficial de Visual Studio Code, dos de los principales puntos de distribución de extensiones para entornos de desarrollo integrados (IDE). Tras una rápida respuesta por parte de los equipos de seguridad, las extensiones maliciosas fueron retiradas y se implementaron nuevas barreras defensivas. Sin embargo, los actores tras GlassWorm han demostrado capacidad de adaptación, lanzando una nueva tanda de extensiones que logró eludir los filtros de seguridad y propagarse de nuevo entre la comunidad de desarrolladores.

Detalles Técnicos

Las tres nuevas extensiones asociadas a GlassWorm se camuflan como utilidades legítimas, ofreciendo supuestas funcionalidades de productividad y depuración para Visual Studio Code. Según los informes técnicos, estas extensiones incluyen payloads ofuscados en archivos JavaScript y aprovechan scripts de post-instalación para ejecutar código arbitrario en los sistemas de las víctimas.

– **CVE asociada**: Aunque no se ha asignado ningún CVE específico a esta variante de GlassWorm, el ataque explota la debilidad inherente en la validación de extensiones por parte del marketplace.
– **Vectores de ataque**: El vector principal es el usuario que instala extensiones desde el marketplace, confiando en su legitimidad debido a la puntuación y número de descargas.
– **TTPs (MITRE ATT&CK)**:
– Initial Access (T1195.002): Compromiso de supply chain a través de componentes de software.
– Execution (T1059): Uso de scripts para ejecutar payloads maliciosos post-instalación.
– Persistence (T1547): Modificación de archivos de configuración de VSCode para persistencia.
– Command and Control (T1071): Comunicación cifrada con servidores C2 externos.
– **IoC conocidos**:
– Hashes SHA256 de las extensiones maliciosas.
– Dominios de C2 observados: `glassworm-c2[.]net`, `vscode-malware[.]com`.
– **Herramientas utilizadas**: Se ha identificado la integración de frameworks como Cobalt Strike para la gestión de C2 y posible escalada de privilegios.

Impacto y Riesgos

El alcance de la campaña es significativo: más de 10.000 desarrolladores han instalado las extensiones antes de que fueran identificadas y retiradas. Los riesgos asociados incluyen la exfiltración de credenciales, robo de código fuente, instalación de puertas traseras y movimientos laterales en infraestructuras corporativas. El ataque impacta especialmente a empresas tecnológicas, proveedores de servicios y cualquier organización que utilice VSCode en la gestión de proyectos sensibles.

Se estima que la exposición económica puede superar los 2 millones de euros si se considera el coste de la remediación, el posible robo de propiedad intelectual y la interrupción de operaciones. Además, el incidente puede acarrear sanciones bajo el RGPD y la directiva NIS2 si se demuestra la filtración de datos de carácter personal o el compromiso de servicios esenciales.

Medidas de Mitigación y Recomendaciones

– **Actualización inmediata**: Eliminar las extensiones maliciosas identificadas y actualizar todas las extensiones a sus versiones verificadas.
– **Revisión de logs**: Analizar los registros de acceso y actividad en estaciones de desarrollo para detectar comportamientos anómalos vinculados a los IoC publicados.
– **Restricción de permisos**: Limitar la capacidad de los desarrolladores para instalar extensiones no auditadas o procedentes de fuentes no verificadas.
– **Implementación de EDR**: Desplegar soluciones avanzadas de detección y respuesta en endpoints para identificar actividades post-compromiso.
– **Política de lista blanca**: Utilizar whitelisting de extensiones en entornos corporativos críticos.
– **Monitorización de tráfico de red**: Inspeccionar conexiones salientes hacia dominios sospechosos asociados a campañas de malware.

Opinión de Expertos

Especialistas del sector, como Pablo San Emeterio (CISO, Telefónica Tech), han advertido que “la cadena de suministro de software es uno de los vectores más explotados por los actores de amenazas avanzados. Las plataformas de extensiones son un objetivo especialmente atractivo, pues permiten un alcance masivo y difícil de rastrear”. Por su parte, analistas de S21Sec subrayan la importancia de combinar controles automáticos con revisiones manuales periódicas en los marketplaces y de formar a los desarrolladores para que identifiquen señales sospechosas en las extensiones.

Implicaciones para Empresas y Usuarios

El incidente evidencia la fragilidad de los ecosistemas de desarrollo modernos y la necesidad de adoptar una postura de “zero trust” incluso en los entornos de herramientas de productividad. Las organizaciones que permitan la instalación libre de extensiones se exponen a compromisos críticos de su infraestructura IT y a posibles brechas de datos reguladas por el RGPD y NIS2. Además, la velocidad de propagación de GlassWorm muestra que los atacantes se benefician de la falta de cultura de seguridad entre los desarrolladores, un aspecto que debe ser abordado mediante programas de concienciación y formación continua.

Conclusiones

La reaparición de GlassWorm en el marketplace de Visual Studio Code confirma la evolución de las amenazas orientadas a la cadena de suministro de software. La sofisticación técnica, el aprovechamiento de la confianza en los repositorios oficiales y la rápida adopción por parte de miles de usuarios demuestran la urgencia de revisar los procesos de validación y despliegue de extensiones en entornos de desarrollo. Las empresas deben reforzar sus políticas de seguridad, invertir en monitorización avanzada y fomentar una cultura de cautela entre sus equipos técnicos para mitigar el impacto de futuras campañas similares.

(Fuente: www.bleepingcomputer.com)