Por Mid 
GlassWorm: un gusano se propaga a través de extensiones de Visual Studio Code
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta
Conclusiones clave
- GlassWorm se propaga mediante extensiones maliciosas en Visual Studio Code, afectando a desarrolladores.
- Las extensiones infectadas utilizan caracteres Unicode invisibles para ocultar su código malicioso.
- El malware roba credenciales y convierte las máquinas de las víctimas en nodos intermedios para actividades ilícitas.
- La amenaza se dirige directamente a los entornos de desarrollo, amplificando el riesgo de propagación.
- Es esencial implementar medidas de seguridad en el ciclo de desarrollo para prevenir infecciones.
Índice
- Definición de GlassWorm
- Métodos de propagación
- Mecanismos de operaciones de GlassWorm
- Recomendaciones de seguridad
Definición de GlassWorm
Investigadores de Koi Security han identificado una nueva amenaza de malware, denominada GlassWorm, que se propaga a través de extensiones de Visual Studio Code. Este gusano autónomo opera con sofisticados mecanismos de control y comando mediante la cadena de bloques. Desde su detección inicial el 17 de octubre de 2025, se han encontrado extensiones maliciosas en el repositorio Open VSX, así como en el marketplace oficial de Microsoft. En total, se han registrado 14 extensiones comprometidas, acumulando más de 35.000 descargas.
Métodos de propagación
Las extensiones infectadas incluyen código oculto utilizando caracteres invisibles de Unicode, técnica que complica su identificación, incluso para usuarios con experiencia. Tras la instalación de alguna de estas extensiones, GlassWorm busca transacciones específicas en la blockchain de Solana. En el campo de notas de estas transacciones se encuentra una cadena codificada en base64 que permite al malware descifrar la dirección de su servidor de mando y control (C2). Este servidor podría estar alojado en diversas instancias que operan en IPs de infraestructura comprometida. En caso de que el canal de Solana no esté accesible, el gusano tiene la opción de recurrir a un sistema basado en eventos de Google Calendar para recibir instrucciones.
Mecanismos de operaciones de GlassWorm
El elemento central del malware, conocido como Zombi, lleva a cabo las acciones maliciosas. Estas incluyen el robo de credenciales de plataformas como GitHub, NPM o Git, la instalación de un servidor VNC oculto para acceso remoto, y la configuración de un proxy SOCKS, lo que convierte la máquina de la víctima en un nodo intermedio para actividades ilícitas. Además, GlassWorm puede hacer uso de tecnologías descentralizadas como WebRTC o DHT para establecer comunicación sin depender de un servidor central.
Este tipo de ataque marca un cambio en el enfoque tradicional: ya no se restringe a infectar a los usuarios finales, sino que se dirige directamente a los desarrolladores, quienes se convierten en una puerta de acceso a infraestructuras enteras. Al impactar en el entorno de desarrollo, el riesgo se amplifica, dado que el código perjudicado puede propagarse inadvertidamente a proyectos corporativos o de código abierto.
Recomendaciones de seguridad
Ante la aparición de GlassWorm, se hace urgente reforzar la vigilancia sobre las herramientas de desarrollo. Se recomienda llevar a cabo auditorías periódicas de las extensiones instaladas, limitar su instalación a fuentes verificadas y evitar las actualizaciones automáticas en entornos críticos. También es aconsejable monitorear las conexiones salientes desde las estaciones de trabajo de los desarrolladores en busca de patrones anómalos, así como renovar las credenciales que puedan haberse visto comprometidas.
Por último, los equipos de DevSecOps deben integrar la seguridad de la cadena de suministro de software en sus procesos de integración y despliegue continuos (CI/CD) para adelantarse a una tendencia creciente de ataques que amenazan el núcleo del ciclo de desarrollo.