Cryptonews

Los poseedores de criptomonedas en la red OpenVSX enfrentan una amenaza inminente a medida que actores maliciosos ponen sus miras en saquear activos digitales.

Fuente
cryptonewstrend.com
Publicado
Los poseedores de criptomonedas en la red OpenVSX enfrentan una amenaza inminente a medida que actores maliciosos ponen sus miras en saquear activos digitales.

GlassWorm, un conocido malware, ha colocado 73 extensiones dañinas en el registro de OpenVSX. Los piratas informáticos lo utilizan para robar las carteras criptográficas de los desarrolladores y otros datos.

Los investigadores de seguridad descubrieron que seis extensiones ya se han convertido en cargas útiles activas. Las extensiones se cargaron como copias falsas de listados conocidos que no eran dañinos. Según un informe de Socket, el código incorrecto aparecerá en una actualización posterior.

El malware GlassWorm ataca a los desarrolladores de criptomonedas

En octubre de 2025, apareció GlassWorm por primera vez. Utilizó caracteres Unicode invisibles para ocultar el código destinado a robar datos de billeteras criptográficas y credenciales de desarrollador. Desde entonces, la campaña se ha extendido a los paquetes npm, los repositorios de GitHub, Visual Studio Code Marketplace y OpenVSX.

Una ola afectó a cientos de repositorios y decenas de extensiones a mediados de marzo de 2026, pero su tamaño llamó la atención de la gente. Varios grupos de investigación notaron la actividad desde el principio y ayudaron a detenerla.

Los atacantes parecen haber cambiado su enfoque. El último lote no incorpora malware de inmediato; en cambio, utiliza un modelo de activación retrasada. Envía una extensión limpia, crea una base de instalación y luego envía una actualización incorrecta.

"Las extensiones clonadas o suplantadas se publican primero sin una carga útil obvia y luego se actualizan para generar malware", dijeron los investigadores de Socket.

Los investigadores de seguridad encontraron tres formas de distribuir el código malicioso en las 73 extensiones. Una forma es utilizar un segundo paquete VSIX de GitHub mientras el programa se está ejecutando e instalarlo mediante comandos CLI. Otro método carga módulos compilados específicos de la plataforma, como archivos de nodo [.] que contienen la lógica central, incluidas rutinas para obtener más cargas útiles.

Una tercera forma utiliza JavaScript muy ofuscado que se decodifica en tiempo de ejecución para descargar e instalar extensiones maliciosas. También tiene URL cifradas o alternativas para obtener la carga útil.

Las extensiones se parecen mucho a listados genuinos.

En un caso, el atacante copió el ícono de la extensión genuina y le dio un nombre y una descripción que eran casi iguales. El nombre del editor y el identificador único son lo que los distingue, pero la mayoría de los desarrolladores no miran detenidamente estos elementos antes de realizar la instalación.

GlassWorm está diseñado para buscar tokens de acceso, datos de billeteras criptográficas, claves SSH e información sobre el entorno de desarrollador.

Las billeteras criptográficas están continuamente bajo ataque de piratas informáticos

La amenaza va más allá de las carteras criptográficas. Un incidente diferente pero relacionado muestra cómo los ataques a la cadena de suministro pueden propagarse a través de la infraestructura de los desarrolladores.

El 22 de abril, el registro npm albergó una versión incorrecta de la CLI de Bitwarden durante 93 minutos con el nombre oficial del paquete @bitwarden/cli@2026.4.0. JFrog, una empresa de seguridad, descubrió que la carga útil robaba tokens de GitHub, tokens de npm, claves SSH, credenciales de AWS y Azure, y secretos de GitHub Actions.

El análisis de JFrog encontró que el paquete pirateado modificó el gancho de instalación y el punto de entrada binario para cargar el tiempo de ejecución de Bun y ejecutar una carga útil ofuscada, tanto durante la instalación como durante la ejecución.

Según los propios registros de la empresa, Bitwarden tiene más de 50.000 empresas y 10 millones de usuarios. Socket vinculó ese ataque con una campaña más grande rastreada por los investigadores de Checkmarx, y Bitwarden confirmó la conexión.

El problema depende de cómo operan npm y otros registros. Los atacantes aprovechan el tiempo entre la publicación de un paquete y el momento en que se verifica su contenido.

Sonatype encontró alrededor de 454,600 nuevos paquetes maliciosos que infestaron los registros en 2025. Los actores de amenazas que buscan obtener acceso a la custodia de criptomonedas, DeFi y plataformas de lanzamiento de tokens han comenzado a apuntar a los registros y a liberar flujos de trabajo maliciosos.

Para los desarrolladores que instalaron cualquiera de las 73 extensiones OpenVSX marcadas, Socket recomienda rotar todos los secretos y limpiar sus entornos de desarrollo.

Lo siguiente a tener en cuenta es si las 67 extensiones inactivas restantes se activan en los próximos días y si OpenVSX implementa controles de revisión adicionales para las actualizaciones de extensiones.