Una cuarta oleada de la campaña «GlassWorm» está dirigida a desarrolladores de macOS con extensiones maliciosas para VSCode/OpenVSX que distribuyen versiones troyanizadas de aplicaciones de monederos de criptomonedas.
Los ataques de GlassWorm aparecieron por primera vez a finales de octubre, ocultando el código malicioso mediante caracteres Unicode «invisibles» para robar información de monederos de criptomonedas y cuentas de desarrolladores.
Las extensiones en el registro de OpenVSX y en Microsoft Visual Studio Marketplace amplían las capacidades de un editor compatible con VS Code al agregar características y mejoras de productividad en forma de herramientas de desarrollo, compatibilidad con lenguajes o temas.
El marketplace de Microsoft es la tienda oficial de extensiones para Visual Studio Code, mientras que OpenVSX sirve como una alternativa abierta e independiente del proveedor, utilizada principalmente por editores que no son compatibles con el mercado propietario de Microsoft o que prefieren no depender de él.
Cómo actúa el malware GlassWorm
El malware GlassWorm apareció por primera vez en el marketplace en octubre, oculto dentro de extensiones maliciosas que utilizaban caracteres Unicode «invisibles».
Microsoft Visual Studio y las plataformas OpenVSX alojan extensiones e integraciones para productos de Visual Studio y son objetivos constantes de actores maliciosos que buscan robar criptomonedas.
Noticias relacionadas
Investigadores del proveedor de seguridad para endpoints Koi Security descubrieron que la actual campaña GlassWorm se basa en «caracteres Unicode invisibles que hacen que el código malicioso desaparezca literalmente de los editores de código».
Una vez instalado, el malware intentaba robar las credenciales de cuentas de GitHub, npm y OpenVSX, así como datos de monederos de criptomonedas de 49 extensiones. Además, permitía el acceso remoto mediante VNC y podía redirigir el tráfico a través del equipo de la víctima mediante un proxy SOCKS.
El gusano cuenta con una billetera integrada con transacciones en la cadena de bloques Solana que proporcionan enlaces codificados en base64 para las cargas útiles de la siguiente etapa. Según los investigadores, la carga útil final se llama ZOMBI y es un código JavaScript altamente ofuscado que convierte los sistemas infectados en nodos para las actividades ciberdelictivas.
«La fase final de GlassWorm, el módulo ZOMBI, transforma cada estación de trabajo de desarrollador infectada en un nodo de una red de infraestructura criminal», afirma Koi Security .
El uso de la cadena de bloques para ocultar cargas útiles es un método que ha ido ganando terreno debido a los múltiples beneficios operativos que ofrece, entre los que se incluyen la resistencia a las eliminaciones, el anonimato, el bajo coste y la flexibilidad para las actualizaciones.
Un nuevo informe del equipo de seguridad de Socket describe una nueva campaña que se basaba en la infección mediante troyanos de las siguientes extensiones:
- oorzc.ssh-tools v0.5.1
- oorzc.i18n-tools-plus v1.6.8
- oorzc.mind-map v1.0.61
- oorzc.scss-to-css-compile v1.3.4
Las actualizaciones maliciosas se implementaron el 30 de enero, y Socket informa que las extensiones habían sido inofensivas durante dos años. Esto sugiere que la cuenta de oorzc probablemente fue comprometida por operadores de GlassWorm.
Según los investigadores, la campaña se dirige exclusivamente a sistemas macOS, extrayendo instrucciones de los memorandos de transacciones de Solana. Cabe destacar que los sistemas con configuración regional rusa están excluidos, lo que podría indicar el origen del atacante.
Socket informó de los paquetes a la Fundación Eclipse, operadora de la plataforma Open VSX, y el equipo de seguridad confirmó el acceso no autorizado a la publicación, revocó los tokens y eliminó las versiones maliciosas.
