- Identifican una red de malware que infectó a más de 35.000 desarrolladores mediante extensiones falsas de Visual Studio Code.
- La amenaza utilizaba caracteres Unicode invisibles para ocultar código malicioso y evitar ser detectada por humanos.
- Una operación conjunta de gigantes tecnológicos ha logrado tumbar la infraestructura que controlaba el botnet desde el bloque Solana y Google Calendar.
- Se recomienda a los equipos de desarrollo de España y Europa rotar todas sus credenciales y auditar sus repositorios de código de inmediato.
Durante más de un año, una parte importante de los profesionales que dan forma a las aplicaciones que usamos a diario en España y en el resto del continente ha estado trabajando con un enemigo en casa. Un programa malicioso bautizado como GlassWorm se instaló cómodamente en las extensiones de Visual Studio Code, la herramienta de edición preferida por la mayoría de programadores, y en los paquetes de código abierto que se comparten globalmente. Este intruso no se limitaba a observar; se dedicaba a recolectar contraseñas y secuestrar cuentas para seguir expandiéndose como una mancha de aceite por todo el ecosistema digital.
El problema no es solo para quienes escriben código, ya que la cadena de suministro de software funciona como un efecto dominó. Si una de las piezas básicas que utiliza tu aplicación del banco o tu red social favorita está infectada, ese veneno termina llegando al usuario final sin que nadie se percate. Esta campaña fue diseñada con una mala leche increíble para aprovechar la confianza de los desarrolladores y colarse en sus máquinas sin levantar la más mínima sospecha, convirtiendo cada equipo infectado en un nuevo foco de propagación.
El truco del código invisible en el editor
Lo que hacía a GlassWorm algo fuera de lo común era su asombrosa capacidad para esconderse a plena vista. Sus creadores utilizaban caracteres Unicode invisibles para escribir las órdenes maliciosas, lo que significa que un programador podía revisar el archivo de arriba a abajo y solo vería espacios en blanco donde en realidad había código ejecutándose. Fue detectado inicialmente por los analistas de Koi Security, quienes advirtieron que estábamos ante el primer gusano capaz de saltar de una máquina a otra utilizando exclusivamente las extensiones de los editores de texto.
A diferencia de otros ataques que buscan un impacto rápido y desaparecen, este malware fue construido para ser un corredor de fondo. Al robar las credenciales de acceso de los propios programadores, podía reinstalarse automáticamente aunque se borrara la extensión original, lo que le permitió alcanzar a decenas de miles de usuarios y comprometer cientos de proyectos de software durante muchos meses sin ser detectado.
Infiltración en las herramientas del día a día
Los atacantes se movieron por las «cañerías» habituales del desarrollo de software, subiendo extensiones tramposas a mercados como Open VSX bajo la apariencia de herramientas útiles, como simples cronómetros o formateadores de texto. También metieron mano en paquetes de npm y Python, usando scripts que se ejecutan solos al instalar una dependencia. Lo más grave es que lograron entrar en más de 300 repositorios de GitHub forzando cambios maliciosos con las llaves que habían robado previamente a otros compañeros del sector.
Una vez que GlassWorm tomaba el control de un ordenador, empezaba a buscar como un loco cualquier tipo de acceso: desde tokens de publicación hasta carteras de criptomonedas. En los casos más severos, los atacantes llegaban a instalar software de acceso remoto para ver en directo lo que pasaba en la pantalla del trabajador. Además, convertían los equipos de las víctimas en servidores puente para ocultar otros delitos, complicando mucho el rastro para las autoridades.
Un golpe coordinado a nivel mundial
Para acabar con esta pesadilla, ha sido necesaria una operación de cirugía de precisión liderada por CrowdStrike, Google y la Fundación Shadowserver. GlassWorm no dependía de un solo servidor, sino que usaba cuatro canales distintos para recibir órdenes, incluyendo mensajes ocultos en la cadena de bloques Solana y títulos de eventos en Google Calendar. Los investigadores tuvieron que cortar todos los cables a la vez el pasado 26 de mayo para evitar que los operadores pudieran recuperar el control de la red.
Aunque la infraestructura principal ha sido desactivada, no podemos bajar la guardia porque los responsables, que probablemente operan desde Rusia, han demostrado una gran capacidad para reinventarse. El malware incluso evitaba activarse si detectaba que el ordenador estaba en territorio ruso o de su órbita, una firma clásica de estos grupos delictivos. Ahora toca remangarse y hacer una limpieza a fondo en las empresas afectadas, revisando cada paquete instalado y cambiando cada contraseña, porque aunque los malos ya no pueden dar órdenes, los datos que se llevaron siguen en sus manos.
La interrupción de esta campaña es un alivio para la comunidad tecnológica europea, pero pone de manifiesto que los atacantes ya no solo buscan el producto final, sino que van directamente a por los profesionales que lo construyen. Toca auditar cada extensión instalada desde principios del año pasado y extremar las precauciones con el software de terceros para evitar que una sola pieza envenenada vuelva a poner en riesgo toda la estructura. Es un trabajo minucioso que apenas acaba de empezar, pero es la única forma de garantizar que nuestras herramientas de trabajo vuelvan a ser seguras.