Programari maliciós GlassWorm v2

Investigadors de ciberseguretat han descobert una campanya maliciosa a gran escala que implica desenes d'extensions de Microsoft Visual Studio Code (VS Code) allotjades al repositori Open VSX. L'operació, coneguda com a GlassWorm, se centra en robar informació sensible dels desenvolupadors i comprometre els entorns de desenvolupament.

Els investigadors van descobrir 73 extensions sospitoses que imiten eines legítimes. D'elles, sis s'han verificat com a malicioses, mentre que la resta semblen funcionar com a paquets "dorment" dissenyats per guanyar-se la confiança dels usuaris abans de ser posteriorment convertits en armes mitjançant actualitzacions.

Totes les extensions identificades es van carregar a principis d'abril de 2026. Des del 21 de desembre de 2025, els investigadors han vinculat més de 320 artefactes maliciosos a la infraestructura més àmplia de GlassWorm.

Extensions malicioses confirmades

S'ha confirmat que les següents extensions d'Open VSX són perjudicials:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.bucle automàtic per a l'antigravetat
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Enginyeria social mitjançant paquets clonats

Moltes de les extensions dorments imiten de prop els paquets de confiança mitjançant tàctiques de typosquatting. Per exemple, els atacants van utilitzar noms enganyosos com ara CEINTL.vscode-language-pack-tr en comptes del legítim Emotionkyoseparate.turkish-language-pack.

Per reforçar la credibilitat, aquestes extensions falses també copiaven les icones i descripcions originals. Aquesta estratègia de "confiança visual" ajuda els atacants a augmentar el nombre d'instal·lacions de manera natural fent que els paquets semblin autèntics i segurs.

Els atacants canvien a tècniques de lliurament més discretes

Els investigadors informen que els operadors de GlassWorm estan refinant activament els seus mètodes per evitar la detecció. En lloc de desplegar programari maliciós immediatament, ara confien en paquets inactius i dependències transitives ocultes que es poden activar més tard.

La campanya també utilitza droppers basats en Zig per instal·lar una segona extensió VSIX maliciosa allotjada a GitHub. Un cop executada, el carregador pot distribuir la càrrega útil entre diversos entorns de desenvolupament integrats (IDE) instal·lats al mateix sistema.

Diversos IDE en risc

El programari maliciós és capaç d'identificar i infectar diverses plataformes de desenvolupador mitjançant l'ordre --install-extension, incloent-hi:

• Codi VS de Microsoft
• Cursor
• Windsurf
• VSCodium

Càrrega útil final dissenyada per al robatori de dades i el control remot

Independentment de la ruta d'infecció inicial, l'objectiu final continua sent el mateix. El programari maliciós està dissenyat per evitar sistemes ubicats a Rússia, recopilar informació sensible, implementar un troià d'accés remot (RAT) i instal·lar en secret una extensió de navegador fraudulenta basada en Chromium.

Aquesta extensió del navegador pot capturar credencials, marcadors i dades emmagatzemades addicionals. En algunes variants, el mecanisme de lliurament està amagat dins de JavaScript ofuscat, on l'extensió actua només com a carregador mentre la càrrega útil real es descarrega i s'executa després de l'activació.