Alerta crítica: Extensiones maliciosas de VS Code resurgen para robar credenciales de GitHub y criptomonedas
Los desarrolladores están en la mira. Nuevas variantes de extensiones de VS Code infectadas están filtrándose en el marketplace oficial, disfrazadas como herramientas legítimas.
¿Cómo operan? Estas extensiones ejecutan scripts en segundo plano que escanean archivos de configuración, claves SSH y credenciales de GitHub. Pero el verdadero premio: archivos de wallets de criptomonedas y claves privadas almacenadas localmente.
El modus operandi recuerda al ataque de 'Extensiones Fantasma' de 2023, pero con mejoras técnicas que evaden los actuales sistemas de detección. Las víctimas ni siquiera notan actividad sospechosa hasta que sus fondos desaparecen.
Ironía amarga: Mientras los exchanges gastan millones en seguridad, muchos inversores siguen guardando claves en archivos de texto sin cifrar. La vieja confianza en el 'seguro' entorno de desarrollo resulta ser su punto ciego.
GlassWorm convierte las máquinas de los desarrolladores en herramientas para delincuentes
Según un artículo del blog del equipo de Koi, compartido en varios subreddits, las extensiones maliciosas implementan servidores proxy SOCKS y utilizan los sistemas de los desarrolladores comprometidos para crear una red proxy criminal. Paralelamente, instalan servidores VNC ocultos, lo que otorga a los atacantes acceso remoto completo a las máquinas de las víctimas sin dejar rastro.
Lasdentrobadas de GitHub y NPM ayudan a los operadores a infectar repositorios y paquetes adicionales, y permiten que GlassWorm se propague más profundamente en la cadena de suministro de software.
Open VSX confirmó que el 21 de octubredenty eliminó todas las extensiones maliciosas conocidas asociadas con la campaña, y también revocó y rotó los tokens comprometidos.
Sin embargo, el nuevo informe de Koi Security indica que GlassWorm ha resurgido, utilizando una forma más avanzada de ofuscación basada en Unicode para eludir los sistemas de detección.
Según la empresa, siete extensiones volvieron a verse comprometidas el 17 de octubre, acumulando un total de 35.800 descargas. La telemetría de Koi también muestra que diez extensiones infectadas están actualmente activas y disponibles públicamente, y distribuyen malware al momento de redactar este informe.
“La infraestructura de comando y control del atacante permanece totalmente operativa. Los servidores de carga útil siguen respondiendo y lasdentrobadas se están utilizando para comprometer nuevos paquetes.”
El malware CodeJoy es invencible, Koi Security lo desmiente.
El motor de análisis de riesgos de Koi detectó una extensión de Open VSX llamada CodeJoy después de que la versión 1.8.3 presentara "cambios de comportamiento inusuales". CodeJoy parece una herramienta legítima de productividad para desarrolladores con cientos de descargas, un código fuente limpio y actualizaciones regulares.
«Al abrir el código fuente, detectamos un enorme espacio en blanco entre las líneas dos y siete», explicaron los investigadores de Koi. «No se trata de un espacio vacío, sino de código malicioso codificado en caracteres Unicode no imprimibles que no se visualizan correctamente en el editor de código».
Los atacantes utilizaron selectores de variación Unicode invulnerables que hacen que la carga maliciosa sea invisible al ojo humano. Las herramientas de análisis estático y las revisiones manuales del código no detectaron nada inusual; sin embargo, el intérprete de JavaScript ejecutó los comandos ocultos a la perfección.
Cuando se descifraron, los caracteres invisibles revelaron un mecanismo de carga útil de segunda etapa, uno que los investigadores de Koi descubrieron que utiliza la cadena de bloques Solana como su infraestructura de comando y control (C2).
“El atacante está utilizando una cadena de bloques pública, que es inmutable, descentralizada y resistente a la censura, como su canal C2”, explicó Koi.
El malware escanea la red Solana en busca de transacciones procedentes de una dirección de monedero predefinida. Al encontrar una, lee el campo de notas, donde se puede adjuntar texto arbitrario a las transacciones. Dentro de ese campo de notas se encuentra un objeto JSON que contiene un enlace codificado en base64 para descargar la siguiente fase del malware.
Una transacción Solana del 15 de octubre que se muestra en el análisis de Koi contenía datos que se decodificaron hasta una URL que alojaba la ubicación activa para descargar la siguiente etapa del malware.
Un atacante puede rotar las cargas útiles publicando una nueva transacción Solana por fracciones de centavo, actualizando todas las extensiones infectadas que consultan la cadena de bloques en busca de nuevas instrucciones.
Según Koi, incluso si los defensores bloquean una URL de carga útil, el atacante puede emitir otra transacción más rápido de lo que se tarda en bloquear una.
“Es como jugar al juego de golpear topos con infinitos topos”, señaló un investigador de Koi.
Los miembros de Koi Security, Idan Dardikman, Yuval Ronen y Lotan Sery, confirmaron que el actor de amenazas publicó nuevas transacciones Solana que contienen nuevos puntos de conexión de comandos esta misma semana.
Regístrate en Bybit y comienza a operar con $30,050 en regalos de bienvenida
