Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Apr 2026  

“Durmientes Silenciosos”: GlassWorm Ataca de Nuevo con una Trampa Sigilosa de Extensiones OpenVSX

Docenas de extensiones de código aparentemente inofensivas se han convertido en vehículos de distribución de malware en la última evolución de la campaña de GlassWorm.

¿Revisas realmente qué ha cambiado cuando tu herramienta de programación favorita se actualiza? Para cientos de desarrolladores, una actualización reciente fue mucho más que una simple corrección de errores: fue el detonante de un ciberataque oculto. El notorio grupo GlassWorm ha regresado, esta vez plantando 73 extensiones “durmientes” en el marketplace de OpenVSX, cada una esperando la señal del atacante para liberar malware.

Anatomía de un Ataque “Durmiente”

GlassWorm no es un recién llegado a la escena del cibercrimen. Detectado por primera vez en octubre de 2025, el grupo rápidamente se hizo un nombre infiltrando malware en cadenas de suministro de software - ocultando a menudo código malicioso con trucos invisibles de Unicode. Su objetivo: robar la mayor cantidad posible de datos sensibles de desarrolladores y criptomonedas, antes de que los defensores se den cuenta.

Su último movimiento marca un cambio estratégico. En lugar de insertar malware directamente en las extensiones, GlassWorm ahora sube extensiones que parecen totalmente benignas. Solo después de una actualización posterior - a veces semanas o meses más tarde - llega la verdadera carga maliciosa. Este enfoque de “célula durmiente” les da tiempo a los atacantes, permitiendo que sus trampas se propaguen ampliamente antes de que alguien lo note.

La firma de seguridad Socket descubrió que estas 73 extensiones fraudulentas son casi idénticas a las populares y legítimas. Desde los íconos hasta las descripciones, están diseñadas para mezclarse, con solo pistas sutiles - como el nombre del publicador o el ID único - que insinúan malas intenciones. Una vez instaladas, estas extensiones actúan como cargadores ligeros: pueden descargar un paquete secundario desde GitHub, cargar módulos específicos de la plataforma o desplegar JavaScript fuertemente ofuscado que decodifica e instala más malware.

El ataque es sofisticado y de múltiples capas. Algunas variantes utilizan URLs cifradas o de respaldo, dificultando los esfuerzos de eliminación. Otras dependen de cargas útiles multiplataforma, ampliando la red a usuarios de Windows, Linux y macOS. En olas anteriores, el malware de GlassWorm ha apuntado a todo, desde claves SSH hasta tokens de acceso y billeteras de criptomonedas.

La escala de la operación es tanto su fortaleza como su debilidad. Si bien cientos de repositorios y docenas de extensiones han sido afectados, la actividad también ha atraído la atención de múltiples equipos de seguridad, lo que ha llevado a la rápida detección y eliminación de muchas listas maliciosas.

¿Qué Deben Hacer los Desarrolladores?

Si has instalado recientemente alguna extensión de terceros de OpenVSX, revisa la lista publicada por Socket de extensiones sospechosas. Se insta a los desarrolladores a rotar todos sus secretos, limpiar sus entornos y mantenerse atentos ante futuras actualizaciones. Esta campaña es un recordatorio contundente: los ataques a la cadena de suministro están evolucionando, y la comodidad de las plataformas para compartir código puede traer riesgos ocultos.

Mirando al Futuro

A medida que GlassWorm perfecciona sus tácticas, la línea entre herramientas confiables y amenazas silenciosas se vuelve cada vez más difusa. Para cada desarrollador, ahora es el momento de examinar cada actualización - no solo en busca de nuevas funciones, sino de señales de compromiso ocultas bajo la superficie.

WIKICROOK

  • Ataque a la Cadena de Suministro: Un ataque a la cadena de suministro es un ciberataque que compromete proveedores de software o hardware confiables, propagando malware o vulnerabilidades a muchas organizaciones a la vez.
  • OpenVSX: OpenVSX es un marketplace de código abierto donde los usuarios pueden encontrar, compartir e instalar extensiones para mejorar sus editores de código, similar a una tienda de aplicaciones.
  • Loader (Cargador): Un cargador es un software malicioso que instala o ejecuta otro malware en un sistema infectado, permitiendo más ciberataques o acceso no autorizado.
  • JavaScript Ofuscado: El JavaScript ofuscado es código deliberadamente enmarañado para ocultar su verdadero propósito, dificultando que humanos y herramientas de seguridad lo analicen o detecten amenazas.
  • Carga Útil (Payload): Una carga útil es la parte dañina de un ciberataque, como un virus o spyware, entregada a través de correos electrónicos o archivos maliciosos cuando la víctima interactúa con ellos.
GlassWorm OpenVSX malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news