Netcrook Logo
👤 CIPHERWARDEN
🗓️ 03 Nov 2025   🗂️ Threats    

Gusanos invisibles en el código: cómo los tokens filtrados desataron una amenaza en la cadena de suministro en Open VSX

Las claves secretas expuestas en el código público abrieron las puertas para que los hackers introdujeran malware en herramientas de desarrollo confiables, encendiendo una nueva batalla por la seguridad del software de código abierto.

Datos Rápidos

  • Más de 550 secretos sensibles fueron filtrados desde plataformas de desarrolladores, incluyendo Open VSX.
  • Los atacantes usaron tokens robados para subir extensiones maliciosas, apuntando a más de 35,000 descargas (aunque el impacto real en usuarios podría ser menor).
  • La campaña de malware "GlassWorm" ocultó su código usando caracteres Unicode invisibles e intentó robar credenciales de desarrolladores y datos de billeteras de criptomonedas.
  • Open VSX eliminó rápidamente las extensiones maliciosas, rotó todos los tokens expuestos y anunció nuevas medidas de seguridad.
  • Los atacantes ahora se han desplazado a GitHub, continuando ataques similares en proyectos de JavaScript.

La escena: secretos al descubierto

Imagina un bullicioso mercado al aire libre donde los vendedores dejan caer accidentalmente sus llaves maestras al suelo. Eso fue lo que ocurrió en el bazar digital de Open VSX, un registro popular de extensiones de código que potencia herramientas de desarrollo en todo el mundo. Cuando los desarrolladores filtraron sin querer sus tokens de acceso - las llaves digitales que controlan quién puede actualizar o publicar extensiones - los hackers actuaron de inmediato, inyectando software malicioso directamente en la cadena de suministro.

Cómo se desarrolló el ataque

La brecha salió a la luz después de que investigadores de Wiz encontraran más de 550 secretos, incluidos tokens de acceso, expuestos en repositorios públicos vinculados a Microsoft VSCode y el mercado de Open VSX. Estos tokens son como contraseñas que permiten a alguien publicar nuevas versiones de complementos populares. Los actores maliciosos aprovecharon rápidamente la filtración, subiendo extensiones trampa a Open VSX. Algunas de estas tenían decenas de miles de descargas, poniendo en riesgo una gran variedad de proyectos.

El malware de los atacantes, apodado “GlassWorm”, era especialmente insidioso. Ocultaba su carga útil usando caracteres Unicode invisibles - una especie de capa de invisibilidad cibernética - lo que dificultaba que incluso desarrolladores experimentados lo detectaran. El objetivo del malware: robar credenciales de desarrolladores e información de billeteras de criptomonedas, potencialmente desencadenando un efecto dominó de nuevas brechas. Investigadores de Koi Security señalaron que este malware intentó propagarse comprometiendo a más desarrolladores, pero el equipo de Open VSX aclaró que en realidad no se replicaba a sí mismo.

Ataques a la cadena de suministro: una plaga de la industria

Este incidente es el último de una serie de ataques dirigidos a la cadena de suministro de software - donde los hackers envenenan los componentes confiables de los que dependen los desarrolladores. En los últimos años se han visto brechas similares en npm, PyPI e incluso SolarWinds, exponiendo a un número masivo de usuarios al riesgo. El hilo conductor: los atacantes explotan la confianza y la apertura del ecosistema, infiltrando malware en las propias herramientas que construyen nuestro mundo digital.

Tras ser alertado, Open VSX actuó rápido: para el 21 de octubre, todas las extensiones maliciosas fueron eliminadas y cada token expuesto fue revocado o rotado. La Eclipse Foundation, que gestiona Open VSX, se comprometió a nuevas salvaguardas: acortar la vida útil de los tokens, automatizar los escaneos de seguridad, acelerar la revocación de credenciales filtradas y compartir inteligencia con otros mercados. Pero los actores de amenazas no se detuvieron - simplemente trasladaron su campaña a GitHub, usando el mismo truco de código invisible para atacar proyectos de JavaScript.

La carrera armamentista continúa

A medida que las plataformas de código abierto se convierten en los motores del software moderno, también se transforman en el nuevo campo de batalla. Cada brecha revela cómo una sola clave filtrada puede abrir puertas a atacantes globales, y cuán rápido pueden migrar las amenazas entre plataformas. Para desarrolladores y usuarios por igual, la lección es clara: en el salvaje oeste del código abierto, la vigilancia es el precio de la seguridad.

El incidente de Open VSX es un recordatorio contundente de que incluso la apertura con las mejores intenciones puede convertirse en un arma en manos equivocadas. Mientras los defensores corren para reforzar los muros, los atacantes siempre buscan la próxima llave suelta. El futuro de la seguridad del software bien podría depender de cuán rápido y cuán inteligentemente podamos adaptarnos.

WIKICROOK

  • Token de acceso: Un token de acceso es una clave digital temporal que verifica la identidad y otorga acceso seguro a servicios o recursos en línea sin necesidad de iniciar sesión repetidamente.
  • Ataque a la cadena de suministro: Un ataque a la cadena de suministro es un ciberataque que compromete proveedores de software o hardware confiables, propagando malware o vulnerabilidades a muchas organizaciones a la vez.
  • Esteganografía Unicode: La esteganografía Unicode oculta información o código en texto usando caracteres Unicode invisibles o poco comunes, dificultando su detección tanto por humanos como por software.
  • Mercado de extensiones: Un mercado de extensiones es una tienda en línea donde los usuarios pueden encontrar e instalar complementos para ampliar las funciones de sus aplicaciones de software.
  • Rotación de tokens: La rotación de tokens es el reemplazo rutinario de tokens de acceso digitales para reducir los riesgos de seguridad si un token es expuesto o robado.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news