Netcrook Logo
👤 HEXSENTINEL
🗓️ 16 Nov 2025  

GlassWorm ataca de nuevo: el malware implacable que burla las defensas de OpenVSX

A pesar de las nuevas medidas de seguridad, el malware GlassWorm ha regresado a OpenVSX, infectando a miles y exponiendo una red global de herramientas de desarrollo comprometidas.

Datos clave

  • GlassWorm volvió a infiltrarse en OpenVSX con tres nuevas extensiones maliciosas para Visual Studio Code.
  • Más de 10.000 descargas antes de ser detectado; la campaña anterior alcanzó casi 36.000 descargas.
  • El malware roba credenciales y datos de billeteras de criptomonedas, usando símbolos Unicode invisibles para ocultar su código.
  • Los atacantes gestionan su botnet a través de la blockchain de Solana y utilizan Google Calendar como canal de respaldo.
  • Las víctimas se encuentran en EE. UU., Sudamérica, Europa, Asia y agencias gubernamentales de Oriente Medio.

El regreso de un depredador digital

Imagina un gusano que cambia de forma y se desliza por las grietas de una fortaleza, esquivando muros recién construidos y dejando un rastro de daños invisibles. Esa es la historia que se desarrolla en OpenVSX, un popular mercado de código abierto para extensiones de Visual Studio Code, donde el notorio malware GlassWorm ha resurgido con sed de venganza.

Detectado por primera vez en octubre de 2025, GlassWorm no es una plaga digital cualquiera. Es un gusano sofisticado y auto-replicante, diseñado para robar credenciales de desarrolladores en plataformas como GitHub, npm y la propia OpenVSX, además de saquear información de billeteras de criptomonedas. Sus creadores, presuntamente ciberdelincuentes de habla rusa, camuflan su código JavaScript malicioso usando caracteres Unicode invisibles - como escribir amenazas con tinta invisible.

Así se desarrolló el ataque

A principios de este año, los operadores de GlassWorm introdujeron tres nuevas extensiones infectadas - ai-driven-dev.ai-driven-dev, history-in-sublime-merge y transient-emacs - en OpenVSX. En conjunto, estas fueron descargadas más de 10.000 veces antes de que los investigadores de Koi Security dieran la voz de alarma. A pesar de los esfuerzos de OpenVSX por reforzar sus defensas tras una ola previa de ataques (que involucró 12 extensiones infectadas y decenas de miles de descargas), las tácticas sigilosas del gusano volvieron a resultar efectivas.

GlassWorm no solo roba credenciales; las utiliza para propagarse aún más, infectando cualquier extensión a la que los usuarios comprometidos tengan acceso. Esta capacidad de auto-propagación lo hace especialmente peligroso, convirtiendo a las víctimas en cómplices involuntarios.

Una red global y un centro de mando de alta tecnología

Al profundizar en la investigación, Koi Security - alertados de forma anónima - logró acceder al servidor de mando de los atacantes. Los hallazgos fueron alarmantes: las víctimas de GlassWorm están dispersas por todo el mundo, incluyendo entidades gubernamentales en Oriente Medio. La infraestructura de mando del malware es inusualmente resistente, aprovechando la blockchain de Solana para el control del botnet y Google Calendar como canal de comunicación de respaldo. Este enfoque multinivel hace que GlassWorm sea difícil de erradicar; si una línea de comunicación se corta, otra está lista para tomar su lugar.

Se informa que los operadores de GlassWorm utilizan el framework de código abierto RedExt para orquestar los ataques, un recordatorio de cómo las herramientas públicas pueden ser convertidas en armas. La firma de seguridad Aikido advirtió recientemente que el alcance de GlassWorm ahora se extiende a GitHub, señalando una campaña más amplia contra los ecosistemas de desarrolladores.

Respuesta de la industria y lo que viene

Como respuesta, OpenVSX revocó cuentas comprometidas y reforzó la seguridad, pero el persistente regreso de GlassWorm expone los límites de la defensa reactiva. Koi Security ha compartido pruebas críticas - including IDs de exchanges de criptomonedas y mensajería de los atacantes - con las fuerzas del orden, y está coordinando con las organizaciones afectadas para mitigar los daños. Aun así, la verdadera magnitud del ataque sigue siendo incierta, ya que los propios delincuentes podrían haber inflado artificialmente las cifras de descargas.

El resurgimiento de GlassWorm es un recordatorio contundente: en el mundo del software de código abierto, incluso las puertas más fortificadas pueden ser vulneradas por adversarios ingeniosos. A medida que los atacantes se adaptan, también deben hacerlo los defensores - porque cuando los gusanos invisibles se cuelan por las grietas, nadie está realmente a salvo.

WIKICROOK

  • OpenVSX: OpenVSX es un mercado de código abierto donde los usuarios pueden encontrar, compartir e instalar extensiones para mejorar sus editores de código, similar a una tienda de aplicaciones.
  • Malware: El malware es un software dañino diseñado para infiltrarse, dañar o robar datos de dispositivos informáticos sin el consentimiento del usuario.
  • Ofuscación Unicode: La ofuscación Unicode ocurre cuando los atacantes usan caracteres Unicode ocultos o inusuales en el código para disfrazar malware y evadir la detección de seguridad.
  • Canal de mando por blockchain: Un canal de mando por blockchain utiliza registros descentralizados, como Solana, para enviar instrucciones al malware, dificultando que las autoridades lo interrumpan o bloqueen.
  • Botnet: Una botnet es una red de dispositivos infectados controlados remotamente por ciberdelincuentes, a menudo utilizada para lanzar ataques a gran escala o robar datos sensibles.
GlassWorm OpenVSX Malware
HEXSENTINEL HEXSENTINEL
Binary & Malware Analyst
← Back to news