Los desarrolladores tendrán que lidiar con un código malicioso que pasó de estar inactivo a estar activo en las extensiones de Visual Studio Code (VS Code), que se cree que ha comprometido a miles de usuarios al robardentpara GitHub, Open VSX y billeteras de criptomonedas.
La Operación GlassWorm, identificada por primera vez dent la firma de ciberseguridad Koi Security a finales del mes pasado, fue creada por un grupo que hackeaba extensiones de VS Code distribuidas a través del Registro Open VSX y Visual Studio Marketplace de Microsoft. Según informes, los atacantes han estado incrustando código malicioso en herramientas de desarrollo de apariencia legítima.
Los investigadores de seguridad de Koi dicen que la campaña tiene como objetivo principal recopilardentde desarrolladores, como tokens NPM, inicios de sesión de GitHub ydentde Git, para permitir el compromiso de la cadena de suministro y el robo financiero.
Según el análisis de Koi, el mismo malware también ha atacado 49 extensiones diferentes de billeteras de criptomonedas, drenando los fondos de los usuarios y exfiltrando datos confidenciales a servidores remotos.
GlassWorm convierte las máquinas de los desarrolladores en ayuda de los criminales
Según el artículo del blog del equipo de Koi, compartido en varios subreddits, las extensiones maliciosas implementan servidores proxy SOCKS y utilizan los sistemas de los desarrolladores comprometidos para construir una red de proxy delictiva. Paralelamente, instalan servidores VNC ocultos, lo que permite a los atacantes acceder remotamente a los equipos de las víctimas sin indicadores visibles.
Lasdentrobadas de GitHub y NPM ayudan a los operadores a infectar repositorios y paquetes adicionales, y permiten que GlassWorm se propague más profundamente en la cadena de suministro de software.
Open VSX confirmó que habíadenty eliminado todas las extensiones maliciosas conocidas asociadas con la campaña el 21 de octubre, y también revocó y rotó los tokens comprometidos.
Sin embargo, el nuevo informe de Koi Security indica que GlassWorm ha resurgido, utilizando una forma más avanzada de ofuscación basada en Unicode para eludir los sistemas de detección.
Según la compañía, siete extensiones fueron comprometidas nuevamente el 17 de octubre, acumulando un total de 35.800 descargas. La telemetría de Koi también muestra que diez extensiones infectadas están actualmente activas y disponibles públicamente, distribuyendo malware al momento de escribir este artículo.
La infraestructura de comando y control del atacante permanece completamente operativa. Los servidores de carga útil siguen respondiendo, y lasdentrobadas se están utilizando para comprometer nuevos paquetes
El malware CodeJoy es invencible, desmiente Koi Security
El motor de análisis de riesgos de Koi detectó una extensión de Open VSX llamada CodeJoy después de que la versión 1.8.3 presentara "cambios de comportamiento inusuales". CodeJoy parece una herramienta legítima de productividad para desarrolladores, con cientos de descargas, un código limpio y actualizaciones periódicas.
“Al abrir el código fuente, observamos una brecha enorme entre las líneas dos y siete”, dijeron los investigadores de Koi. “No se trata de un espacio vacío, sino de código malicioso codificado en caracteres Unicode no imprimibles que no se procesan en el editor de código”
Los atacantes utilizaron selectores de variantes Unicode invulnerables que hacen que la carga maliciosa sea invisible al ojo humano. Las herramientas de análisis estático y las revisiones manuales de código no detectaron nada inusual, pero el intérprete de JavaScript ejecutó los comandos ocultos sin problemas.
Al ser decodificados, los caracteres invisibles revelaron un mecanismo de carga útil de segunda etapa, que los investigadores de Koi descubrieron que utiliza la cadena de bloques Solana como su infraestructura de comando y control (C2).
“El atacante está utilizando una cadena de bloques pública, que es inmutable, descentralizada y resistente a la censura, como su canal C2”, explicó Koi.
El malware escanea la red Solana en busca de transacciones provenientes de una dirección de monedero codificada. Al encontrar una, lee el campo memo, donde se puede adjuntar texto arbitrario a las transacciones. Dentro de ese campo memo se encuentra un objeto JSON que contiene un enlace codificado en base64 para descargar la carga útil de la siguiente etapa.
Una transacción Solana del 15 de octubre mostrada en el análisis de Koi contenía datos que fueron decodificados a una URL que aloja la ubicación activa para descargar la siguiente etapa del malware.
Un atacante puede rotar cargas útiles publicando una nueva transacción Solana por fracciones de centavo, actualizando todas las extensiones infectadas que consultan la cadena de bloques en busca de nuevas instrucciones.
Según Koi, incluso si los defensores bloquean una URL de carga útil, el atacante puede emitir otra transacción más rápido de lo que lleva derribar una.
"Es como jugar al 'golpea al topo' con infinitos topos", señaló un investigador de Koi.
Los miembros de Koi Security, Idan Dardikman, Yuval Ronen y Lotan Sery, confirmaron que el actor de amenazas publicó nuevas transacciones Solana que contienen nuevos puntos finales de comando tan recientemente como esta semana.
