Mensaje de Gate News, 28 de abril — Investigadores de seguridad han identificado 73 extensiones maliciosas plantadas por el malware GlassWorm en el registro de OpenVSX, con seis ya activadas para robar las carteras de criptomonedas y las credenciales de los desarrolladores. Las extensiones se subieron como copias falsas de listados legítimos, con código malicioso inyectado mediante actualizaciones posteriores.

GlassWorm apareció por primera vez en octubre de 2025, utilizando caracteres Unicode invisibles para ocultar código dirigido a los datos de las carteras cripto y a las credenciales de los desarrolladores. Desde entonces, la campaña se ha extendido por paquetes de npm, repositorios de GitHub, Visual Studio Code Marketplace y OpenVSX. A mediados de marzo de 2026, una gran oleada afectó a cientos de repositorios y a docenas de extensiones, lo que motivó la intervención de varios grupos de investigación en seguridad. Los atacantes emplean una estrategia de activación diferida: distribuyen primero extensiones limpias para crear una base de instalación antes de desplegar el malware mediante actualizaciones. Los investigadores de Socket identificaron tres métodos de entrega: cargar un segundo paquete VSIX desde GitHub mediante comandos de la CLI, implementar módulos compilados específicos de la plataforma como archivos .node que contienen la lógica maliciosa central, y usar JavaScript fuertemente ofuscado que se decodifica en tiempo de ejecución para descargar e instalar cargas maliciosas.

La amenaza va más allá de OpenVSX. El 22 de abril, el registro de npm alojó brevemente una versión maliciosa de la CLI de Bitwarden bajo el nombre oficial del paquete durante 93 minutos. El paquete comprometido robó tokens de GitHub, tokens de npm, claves SSH, credenciales de AWS y Azure, y secretos de GitHub Actions. Bitwarden, que presta servicio a más de 10 millones de usuarios en más de 50.000 empresas, confirmó la conexión con una campaña más amplia rastreada por investigadores de Checkmarx. Los ataques de cadena de suministro explotan el desfase entre la publicación de paquetes y la verificación del contenido; Sonatype informó de aproximadamente 454.600 paquetes maliciosos que infestaron los registros en 2025.

Socket recomienda a los desarrolladores que instalaron cualquiera de las 73 extensiones de OpenVSX marcadas que roten todas las credenciales secretas y limpien sus entornos de desarrollo. Los observadores de seguridad están monitoreando si las 67 extensiones restantes, que permanecen inactivas, se activan en los próximos días y si OpenVSX implementa controles de revisión más estrictos para las actualizaciones de extensiones.

Ver fuente

Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.