GlassWorm, un conocido malware, ha introducido 73 extensiones dañinas en el registro de OpenVSX. Los hackers lo utilizan para robar las carteras de criptomonedas y otros datos de los desarrolladores.
Investigadores de seguridad descubrieron que seis extensiones ya se habían convertido en programas maliciosos activos. Estas extensiones se subieron como copias falsas de listados conocidos que no eran dañinos. Según un informe de Socket, el código malicioso aparece en una actualización posterior.
El malware GlassWorm ataca a los desarrolladores de criptomonedas
GlassWorm apareció por primera vez en octubre de 2025. Utilizaba caracteres Unicode invisibles para ocultar código destinado a robar datos de monederos de criptomonedas ydentde desarrolladores. Desde entonces, la campaña se ha extendido a paquetes npm, repositorios de GitHub, Visual Studio Code Marketplace y OpenVSX.
Una oleada de ataques afectó a cientos de repositorios y decenas de extensiones a mediados de marzo de 2026, pero su magnitud llamó la atención. Varios grupos de investigación detectaron la actividad con antelación y contribuyeron a detenerla.
Los atacantes parecen haber cambiado su estrategia. La última versión no instala malware de inmediato, sino que utiliza un modelo de activación retardada. Envía una extensión limpia, crea una base de usuarios instalados y luego envía una actualización maliciosa.
“Las extensiones clonadas o que suplantan la identidad de otros se publican primero sin una carga útil evidente, y luego se actualizan para distribuir malware”, dijeron.
Investigadores de seguridad descubrieron tres maneras de distribuir el código malicioso a través de las 73 extensiones. Una consiste en usar un segundo paquete VSIX de GitHub mientras el programa se está ejecutando e instalarlo mediante comandos de la CLI. Otro método consiste en cargar módulos compilados específicos de la plataforma, como archivos [.]node, que contienen la lógica principal, incluidas rutinas para obtener más cargas útiles.
Una tercera opción utiliza código JavaScript altamente ofuscado que se decodifica en tiempo de ejecución para descargar e instalar extensiones maliciosas. También dispone de URL cifradas o alternativas para obtener la carga útil.
Las extensiones se parecen mucho a los anuncios auténticos.
En un caso, el atacante copió el icono de la extensión original y le dio un nombre y una descripción casi idénticos. El nombre del editor y eldentúnico son lo que las diferencia, pero la mayoría de los desarrolladores no se fijan en estos detalles antes de instalarlas.
GlassWorm está diseñado para obtener tokens de acceso, datos de monederos de criptomonedas, claves SSH e información sobre el entorno de desarrollo.
Las carteras de criptomonedas son atacadas continuamente por hackers
La amenaza va más allá de las carteras de criptomonedas. Un incidente diferente, pero relacionado,dent cómo los ataques a la cadena de suministro pueden propagarse a través de la infraestructura de los desarrolladores.
El 22 de abril, el registro de npm alojó una versión maliciosa de la CLI de Bitwarden durante 93 minutos bajo el nombre de paquete oficial @bitwarden/[email protected]. JFrog, una empresa de seguridad, descubrió que la carga útil robó tokens de GitHub, tokens de npm, claves SSH, credenciales de AWS y Azuredenty secretos de GitHub Actions.
El análisis de JFrog reveló que el paquete pirateado modificaba el gancho de instalación y el punto de entrada binario para cargar el entorno de ejecución Bun y ejecutar una carga útil ofuscada, tanto durante la instalación como durante la ejecución.
Según los propios registros de la compañía, Bitwarden cuenta con más de 50.000 empresas y 10 millones de usuarios. Socket vinculó ese ataque con una campaña más amplia tracpor los investigadores de Checkmarx, y Bitwarden confirmó la conexión.
El problema radica en cómo funcionan npm y otros registros. Los atacantes aprovechan el tiempo que transcurre entre la publicación de un paquete y la verificación de su contenido.
Sonatype descubrió alrededor de 454.600 nuevos paquetes maliciosos que infestaban los registros en 2025. Los ciberdelincuentes que buscan obtener acceso a la custodia de criptomonedas, DeFiy plataformas de lanzamiento de tokens han comenzado a atacar los registros y a lanzar flujos de trabajo maliciosos.
Para los desarrolladores que hayan instalado alguna de las 73 extensiones de OpenVSX señaladas, Socket recomienda rotar todos los secretos y limpiar sus entornos de desarrollo.
Lo siguiente que habrá que observar es si las 67 extensiones inactivas restantes se activan en los próximos días y si OpenVSX implementa controles de revisión adicionales para las actualizaciones de las extensiones.
