Investigadores de ciberseguridad han detectado una nueva evolución de la campaña GlassWorm , que emplea un nuevo programa malicioso Zig diseñado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en el ordenador del desarrollador.
La técnica se descubrió en una extensión de Open VSX llamada » specstudio.code-wakatime-activity-tracker «, que se hace pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan en su IDE. La extensión ya no está disponible para su descarga.
«La extensión […] incluye un binario nativo compilado con Zig junto con su código JavaScript», afirmó Ilyas Makari, investigador de Aikido Security, en un análisis publicado esta semana.
«Esta no es la primera vez que GlassWorm recurre al uso de código compilado nativo en extensiones. Sin embargo, en lugar de usar el binario directamente como carga útil, lo utiliza como una forma encubierta de infiltración para el conocido instalador de GlassWorm, que ahora infecta secretamente todos los demás IDE que encuentra en su sistema.»
La extensión recientemente identificada para Microsoft Visual Studio Code (VS Code) es prácticamente idéntica a WakaTime, salvo por un cambio introducido en una función llamada «activate()». La extensión instala un archivo binario llamado «win.node» en sistemas Windows y «mac.node», un archivo binario universal Mach-O, si el sistema ejecuta macOS de Apple.
Estos complementos nativos de Node.js son bibliotecas compartidas compiladas, escritas en Zig, que se cargan directamente en el entorno de ejecución de Node y se ejecutan fuera del entorno aislado de JavaScript con acceso completo a nivel del sistema operativo.
Una vez cargado, el objetivo principal del binario es encontrar todos los entornos de desarrollo integrados (IDE) del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, así como bifurcaciones como VSCodium, Positron y varias herramientas de codificación con inteligencia artificial (IA) como Cursor y Windsurf.
El archivo binario descarga una extensión maliciosa de VS Code (.VSIX) desde una cuenta de GitHub controlada por el atacante . Esta extensión, llamada «floktokbok.autoimport», suplanta la identidad de » steoates.autoimport «, una extensión legítima con más de 5 millones de instalaciones en el Marketplace oficial de Visual Studio.
En el último paso, el archivo .VSIX descargado se guarda en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador de línea de comandos de cada editor. La extensión de segunda etapa para VS Code actúa como un dropper que evita la ejecución en sistemas rusos, se comunica con la cadena de bloques Solana para obtener el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensión de Google Chrome para robar información.
Se recomienda a los usuarios que hayan instalado «specstudio.code-wakatime-activity-tracker» o «floktokbok.autoimport» que asuman que existe una vulnerabilidad y roten todas las claves secretas.
¿Te ha parecido interesante este artículo? Síguenos en Google Noticias , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Equipo Prensa
Portal Innova
