«Confía, pero verifica» ya no basta: piratas informáticos se hicieron con las cuentas de desarrolladores populares en Open VSX
Tus herramientas habituales se han convertido de repente en agentes dobles.
En el catálogo de extensiones Open VSX se registró un nuevo ataque a la cadena de suministro relacionado con la toma de control de la cuenta de un desarrollador. Los atacantes introdujeron actualizaciones maliciosas en herramientas populares para entornos de desarrollo y distribuyeron el cargador GlassWorm, orientado al robo de datos y cuentas. El incidente afectó a extensiones con decenas de miles de instalaciones y evidenció un cambio en la táctica de los atacantes.
El equipo de Socket descubrió que desconocidos obtuvieron acceso a los datos de publicación del autor con seudónimo oorzc y publicaron versiones infectadas de cuatro extensiones en el registro Open VSX. Según la evaluación del equipo de seguridad de la plataforma, la actividad corresponde al uso de un token filtrado u otro acceso no autorizado al mecanismo de publicación. El código malicioso fue añadido a las actualizaciones de FTP SFTP SSH Sync Tool, I18n Tools, vscode mindmap y scss to css. Antes de la infección, estos proyectos se distribuían durante largo tiempo como utilidades legítimas y en conjunto acumularon más de 22.000 descargas.
En las versiones actualizadas se incluía un cargador multietapa. Descifra un fragmento de código oculto en tiempo de ejecución y lo ejecuta en memoria. Además realiza comprobaciones de la configuración regional y la zona horaria: los sistemas con ajustes en idioma ruso son omitidos. Las direcciones de los servidores de control se obtienen no de forma directa, sino a través de notas en transacciones de la cadena de bloques Solana, lo que permite cambiar rápidamente la infraestructura sin volver a publicar la extensión.
La carga posterior se orienta a macOS. Tras la ejecución, el módulo recopila cookies, credenciales de inicio y el historial de navegadores, incluidos Firefox y soluciones basadas en Chromium, así como datos de monederos criptográficos y sus extensiones correspondientes. Entre los objetivos están MetaMask, Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance y TonKeeper. Además se copian archivos del llavero de macOS, notas de Apple, cookies de Safari y parámetros de FortiClient VPN. Hay un interés particular por los directorios del desarrollador que contienen claves de AWS y SSH, lo que genera riesgo de compromiso de entornos en la nube y de propagación ulterior dentro de la infraestructura. También se extraen tokens de npm y artefactos de acceso a GitHub, que pueden abrir el acceso a repositorios privados y a pipelines de compilación.
Tras la notificación por parte de los analistas, el equipo de Open VSX desactivó los tokens de publicación del autor, eliminó las versiones infectadas y marcó uno de los paquetes como malicioso. Las versiones limpias y anteriores de las demás extensiones se dejaron disponibles. Los responsables del registro subrayaron además que los signos de compromiso se refieren específicamente a Open VSX y no indican que la plataforma Visual Studio Marketplace haya sido comprometida.
La campaña observada supone una evolución de la actividad de GlassWorm, que desde el otoño de 2025 distribuye extensiones maliciosas para desarrolladores. Mientras que antes los atacantes con más frecuencia creaban proyectos falsos haciéndose pasar por herramientas conocidas, ahora se ha utilizado una cuenta ya existente con reputación e historial de descargas.
Los especialistas recomiendan eliminar las extensiones señaladas, comprobar el sistema por presencia de mecanismos de persistencia en el directorio LaunchAgents y cambiar claves y tokens de acceso a GitHub, npm, AWS y SSH. Este tipo de incidente se considera una posible filtración de credenciales y requiere la rotación completa de secretos.