La campaña GlassWorm, que previamente comprometió el mercado de extensiones Open VSX y VS Code, ha resurgido con nuevas extensiones maliciosas que contienen malware distribuido a través de repositorios públicos en GitHub. Este malware utiliza caracteres Unicode invisibles para ocultar el código malicioso, logrando evadir la revisión de código manual y automática.
GlassWorm V2: Malware Oculto con Caracteres Unicode en Extensiones de VS Code
La campaña apunta a desarrolladores, buscando robar credenciales críticas y utilizar la máquina infectada para la auto-propagación y como infraestructura proxy.
Mecanismo Técnico y Evasión
- Inyección Invisible: Las extensiones comprometidas contienen fragmentos de código malicioso que han sido insertados mediante caracteres Unicode invisibles (ej., selectores de variación, espacios PUA). El código no se muestra en el editor, pero es interpretado y ejecutado por el runtime.
- Robo y Control: Una vez instaladas, las extensiones roban tokens de desarrollador (NPM, GitHub/Git, Open VSX), credenciales de carteras criptográficas y pueden convertir la máquina infectada en un servidor proxy SOCKS o instalar un cliente VNC oculto para control remoto.
- C2 Resiliente: El Comando y Control (C2) utiliza una infraestructura de tres capas, altamente resiliente y difícil de derribar:
- Solana Blockchain (para almacenar instrucciones).
- Google Calendar (como respaldo).
- Servidores de comandos directos (para comunicación principal).
- Auto-Propagación: Al robar los tokens de desarrollador, el malware busca publicar nuevas versiones de extensiones infectadas o modificar los mantenedores ya existentes, lo que lo convierte en un gusano de cadena de suministro.
Implicaciones Críticas
- Vector de Desarrollo Desatendido: El blanco son los desarrolladores y sus máquinas, que tienen acceso a tokens de despliegue y entornos CI/CD. Muchas organizaciones no monitorean las extensiones de VS Code/Open VSX con el mismo rigor que los servidores.
- Fallo en Revisión de Código: La técnica de código invisible socava las revisiones manuales y automáticas (diffs), ya que el código se ejecuta sin ser visto.
- C2 Evasivo: El uso de infraestructura descentralizada (blockchain + Google Calendar) reduce la eficacia de las medidas tradicionales de bloqueo de dominio/IP.
- Volumen: La primera oleada afectó a $approx 7$ extensiones y $approx 35,800$ descargas. La nueva fase ya añadió $approx 3$ extensiones adicionales con miles de descargas.
Recomendaciones
- Control Centralizado de Extensiones
- Auditoría Urgente: Auditar todas las extensiones instaladas en VS Code/Open VSX. Eliminar de inmediato extensiones sospechosas o con cambios recientes de autor sin explicación (incluyendo las tres mencionadas).
- Política de Whitelisting: Implementar políticas de control centralizado de extensiones para VS Code/Open VSX en entornos corporativos, basadas en lista blanca de editores/extensiones aprobadas.
- Restricción de Actualización: Deshabilitar o restringir la actualización automática de extensiones en entornos sensibles.
- Seguridad de Credenciales yEndpoint
- Rotación de Tokens: Rotar inmediatamente los tokens de NPM, GitHub/Git y Open VSX utilizados por los desarrolladores. Revocar cualquier token exportado de máquinas de desarrollador.
- Monitoreo de Endpoint: Incluir estaciones de desarrollo en el perímetro de monitoreo. Crear reglas de detección para:
- Procesos que lean y exfiltren credenciales de navegador o wallets criptográficas.
- Tráfico de red sospechoso desde máquinas de desarrollador hacia C2 atípicos (ej., conexiones RPC de Solana).
- Código con secuencias de caracteres Unicode invisibles (mediante regex para U+FEFF, U+2060, etc.).
- Gobernanza yDevSecOps**
- Gestión de Riesgos: Educar a los desarrolladores sobre el riesgo de las extensiones maliciosas y la necesidad de verificar el código fuente o la reputación del mantenedor.
- Auditoría de CI/CD: Revisar los pipelines de CI/CD para asegurar que los tokens utilizados tengan privilegios mínimos y no puedan ser utilizados para publicar versiones maliciosas de software.
