### Nuevas extensiones maliciosas en Visual Studio Code evidencian la persistencia de la campaña GlassWorm

#### Introducción

En el ámbito de la ciberseguridad, los entornos de desarrollo integrados (IDE) se han convertido en un objetivo cada vez más atractivo para los actores de amenazas. Investigadores han revelado recientemente la existencia de tres extensiones maliciosas adicionales asociadas a la campaña GlassWorm, todas ellas diseñadas para infiltrarse en el ecosistema de Visual Studio Code (VS Code). Este hallazgo no solo pone de relieve la sofisticación de los atacantes, sino también las carencias actuales en la cadena de suministro de software, especialmente en repositorios de extensiones de uso masivo.

#### Contexto del Incidente

GlassWorm es una campaña de ciberataques activa desde finales de 2023, dirigida específicamente a desarrolladores y organizaciones que emplean VS Code como herramienta principal de desarrollo. Los atacantes, aprovechando la confianza depositada en el marketplace oficial de extensiones, han conseguido distribuir componentes maliciosos que pasan inadvertidos para los mecanismos de revisión automatizada.

Las nuevas extensiones detectadas, que continúan disponibles para su descarga en el marketplace de VS Code, son:

– `ai-driven-dev.ai-driven-dev` (3.402 descargas)
– `adhamu.history-in-sublime-merge` (4.057 descargas)
– Una tercera extensión no identificada públicamente en el momento de la redacción, pero bajo investigación.

Estas cifras reflejan un alcance considerable y un riesgo potencial para miles de desarrolladores y organizaciones que confían en la integridad de este ecosistema.

#### Detalles Técnicos

Las extensiones maliciosas están diseñadas para ejecutar código arbitrario en los sistemas donde se instalan, explotando la capacidad de VS Code para integrar código JavaScript y Node.js. Las investigaciones han identificado que estos complementos contienen payloads ofuscados que, una vez activados, establecen conexiones C2 (Command and Control) con servidores controlados por los atacantes.

**Vectores de ataque y TTPs:**
– **Tácticas MITRE ATT&CK:**
– Initial Access (T1195 – Supply Chain Compromise)
– Execution (T1059 – Command and Scripting Interpreter)
– Persistence (T1543 – Create or Modify System Process)
– Exfiltration (T1041 – Exfiltration Over C2 Channel)

– **Indicadores de compromiso (IoC):**
– Dominios y direcciones IP de C2 específicos registrados en países con baja cooperación internacional.
– Hashes SHA256 únicos asociados a las versiones maliciosas de las extensiones.
– Actividad inusual en logs de red, incluyendo conexiones salientes a puertos no estándar.

**Frameworks y herramientas utilizadas:**
Se han observado intentos de carga y ejecución de frameworks como Metasploit y Cobalt Strike a través de scripts integrados en las extensiones, lo que permite la ejecución remota de comandos, exfiltración de credenciales y movimiento lateral en entornos corporativos.

#### Impacto y Riesgos

El principal riesgo radica en la capacidad de estos componentes maliciosos para obtener persistencia en equipos de desarrollo, facilitando la manipulación del código fuente, el robo de credenciales y la implantación de puertas traseras. El impacto es especialmente grave en entornos CI/CD, donde una extensión comprometida puede afectar a todo el ciclo de vida del software.

Según estimaciones basadas en descargas, se calcula que al menos un 0,5% de los usuarios activos de VS Code en entornos corporativos podrían estar afectados, lo que equivale a decenas de miles de sistemas a nivel global. El coste económico asociado a incidentes de este tipo, considerando interrupciones operativas y costes de respuesta, puede oscilar entre 50.000 y 500.000 euros por incidente, sin contar daños reputacionales ni posibles sanciones bajo normativas como el GDPR o la directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

Los expertos recomiendan las siguientes acciones inmediatas:

– **Auditoría y desinstalación:** Revisar y eliminar las extensiones listadas, así como cualquier otra de origen dudoso.
– **Monitorización proactiva:** Implementar soluciones EDR y SIEM para detectar actividad anómala relacionada con procesos de VS Code y conexiones salientes sospechosas.
– **Control de integridad:** Utilizar herramientas de control de integridad en los entornos de desarrollo y pipelines de CI/CD.
– **Políticas restrictivas:** Limitar la instalación de extensiones a repositorios internos o listas blancas previamente auditadas.
– **Formación y concienciación:** Actualizar la formación de desarrolladores en prácticas seguras de cadena de suministro de software.

#### Opinión de Expertos

Andrés Martínez, analista de amenazas en un CERT europeo, señala: “La proliferación de extensiones maliciosas en VS Code confirma que la cadena de suministro es el nuevo campo de batalla. Es imprescindible que los proveedores de marketplaces implementen controles de seguridad más estrictos y revisiones manuales, especialmente para extensiones con un crecimiento inusual en descargas”.

Por su parte, Ana Torres, CISO de una multinacional tecnológica, advierte: “No se trata solo de evitar la instalación de extensiones sospechosas, sino de monitorizar activamente el comportamiento de los entornos de desarrollo, ya que los atacantes buscan persistencia y movimiento lateral, comprometiendo la integridad de proyectos críticos”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente evidencia la necesidad de revisar las políticas de seguridad en la cadena de suministro del software y fortalecer los mecanismos de autenticación y control en los entornos de desarrollo. Además, deberán considerar la revisión de contratos y acuerdos de nivel de servicio (SLA) con proveedores de software, así como adaptar sus procedimientos a los requisitos de la NIS2 y el GDPR para evitar sanciones por falta de diligencia.

Los usuarios individuales, especialmente desarrolladores freelance y pequeños estudios, deben extremar la precaución y verificar la reputación y origen de cualquier extensión antes de instalarla.

#### Conclusiones

La campaña GlassWorm y la aparición de nuevas extensiones maliciosas en el marketplace de VS Code subrayan la urgencia de reforzar la seguridad en la cadena de suministro del software. La colaboración entre proveedores de herramientas, analistas de ciberseguridad y el propio ecosistema de desarrolladores será clave para mitigar riesgos y prevenir futuros incidentes de gran impacto.

(Fuente: feeds.feedburner.com)