Mismos iconos, objetivos distintos: publicado un listado de 73 extensiones de OpenVSX con funcionalidad maliciosa
Un solo clic equivocado puede costarles a los desarrolladores toda su infraestructura.
La campaña GlassWorm resurgió entre los desarrolladores, pero ahora los atacantes actúan con más sigilo. En lugar de extensiones claramente maliciosas para OpenVSX, primero publican copias inofensivas de herramientas populares y agregan las funciones maliciosas más tarde mediante actualizaciones.
La empresa Socket informó de 73 extensiones sospechosas relacionadas con la nueva oleada de GlassWorm. Seis de ellas ya se activaron y empezaron a descargar código malicioso. Las demás, según los especialistas, por ahora están dormidas o parecen lo bastante sospechosas como para considerarlas parte del mismo esquema.
Las extensiones se disfrazan de proyectos legítimos. Los autores copian los iconos, nombres y descripciones similares, por lo que un desarrollador despistado puede tomar la falsificación por la herramienta real. Las diferencias suelen estar en el nombre del editor y en el identificador único de la extensión.
La nueva táctica difiere de ataques anteriores de GlassWorm. Antes, el código malicioso se ocultaba directamente dentro de las extensiones, incluso mediante caracteres Unicode invisibles. Ahora las extensiones actúan con más frecuencia como cargadores. Pueden obtener un paquete VSIX adicional desde GitHub, ejecutar módulos .node dependientes de la plataforma o usar JavaScript muy ofuscado, que revela la lógica maliciosa solo en tiempo de ejecución.
Socket no divulgó detalles técnicos de la nueva carga útil. En olas anteriores de GlassWorm los atacantes buscaban datos de carteras de criptomonedas, credenciales, tokens de acceso, claves SSH y el contenido de los entornos de trabajo de los desarrolladores. La campaña ya había afectado a GitHub, npm, Visual Studio Code Marketplace, OpenVSX y a usuarios de macOS mediante clientes falsos para carteras de criptomonedas.
Socket publicó la lista de las 73 extensiones. A los desarrolladores que instalaron esos paquetes se les recomienda limpiar su entorno de trabajo y reemplazar todos los secretos, incluidos tokens, claves y contraseñas.