Investigadores en ciberseguridad han descubierto una nueva vuelta de tuerca en la campaña conocida como GlassWorm: una extensión maliciosa para entornos de desarrollo que lleva incorporado un “dropper” compilado en Zig con la misión aparente de infectar silenciosamente todos los IDEs instalados en el equipo del desarrollador.
La muestra apareció en Open VSX bajo el nombre specstudio.code-wakatime-activity-tracker, intentando hacerse pasar por WakaTime, la herramienta que registra el tiempo que pasas programando. La extensión ya no está disponible para descarga, pero el hallazgo dejó en claro una táctica preocupante: la inclusión de binarios nativos compilados junto al código JavaScript de la extensión, los cuales se cargan como complementos nativos de Node y salen del confinamiento habitual del sandbox de JavaScript, obteniendo así acceso a operaciones a nivel de sistema.
En términos prácticos, el binario que acompaña a la extensión actúa como una pieza de “indirección” muy discreta. Los archivos llamados win.node en Windows o mac.node en macOS son librerías compartidas que se cargan en el runtime de Node.js y buscan activamente otros IDEs que puedan aceptar extensiones compatibles con VS Code. Esa búsqueda no se limita a Visual Studio Code y su versión Insiders: también abarca forks y editores derivados —como VSCodium— e incluso algunas herramientas de programación potenciadas por IA que integran la compatibilidad con extensiones.
Una vez que el binario detecta objetivos, descarga desde una cuenta controlada por el atacante un paquete .VSIX malicioso. Ese paquete suplanta una extensión legítima muy popular llamada autoimport (la original está publicada como steoates.autoimport en el Marketplace de Visual Studio). El instalador escribe el .VSIX en una ruta temporal y lo instala silenciosamente en cada editor utilizando las herramientas de línea de comandos que cada IDE proporciona para instalar extensiones desde archivos VSIX; un flujo que cualquier desarrollador puede reconocer si ha instalado extensiones manualmente alguna vez (más información sobre la instalación desde VSIX está disponible en la documentación oficial de VS Code: code.visualstudio.com).
El ciclo de infección no termina con la simple instalación: la segunda extensión actúa como un dropper más capaz. Según el análisis, evita ejecutarse en sistemas ubicados en Rusia, consulta la blockchain de Solana para obtener la dirección del servidor de mando y control (C2) —un método que aprovecha la naturaleza pública y resistente a la censura de las blockchains—, recoge datos sensibles del entorno de desarrollo, y despliega un troyano de acceso remoto (RAT). Ese RAT continúa la cadena atacante instalando una extensión para Google Chrome diseñada para robar información almacenada en el navegador.
Esta evolución del crimen digital subraya varios puntos críticos para cualquier persona que desarrolle software. Primero, las extensiones ya no son solo scripts: pueden incluir componentes nativos que operan fuera de la caja de arena y, por tanto, elevan considerablemente el alcance de lo que un paquete malicioso puede hacer en un sistema. Segundo, la técnica de distribuir un instalador que se replica silenciosamente en múltiples IDEs convierte a los entornos de desarrollo en un vector de movimiento lateral ideal para atacantes que buscan credenciales, tokens o secretos con los que pivotar a otros recursos.
Si trabajas con herramientas como WakaTime o instalas extensiones desde repositorios de terceros, conviene extremar las precauciones. El incidente evidencia que los atacantes usan plataformas legítimas como Open VSX o repositorios públicos como GitHub para hospedar y distribuir cargas maliciosas de forma aparentemente inocua; por eso es fundamental verificar siempre la procedencia de una extensión, revisar su código cuando sea posible y preferir fuentes oficiales y de confianza. Para contextualizar cómo estos incidentes se reportan y analizan en la comunidad, medios especializados y equipos de respuesta han documentado casos similares en los que extensiones o paquetes abusan de servicios legítimos para persistir o expandir su infección (ver cobertura en sitios de referencia como Bleeping Computer o The Hacker News).
Si crees que tu entorno pudo verse afectado por alguna de estas extensiones —por ejemplo, si instalaste specstudio.code-wakatime-activity-tracker o la extensión que suplanta a autoimport—, lo prudente es asumir compromiso y actuar con rapidez. La respuesta debe incluir la desinstalación de las extensiones sospechosas, la búsqueda y eliminación de binarios nativos relacionados, la comprobación de extensiones instaladas en todos los editores y la revisión de extensiones de navegador instaladas recientemente. También es imprescindible rotar cualquier secreto que haya podido almacenarse o ser accesible desde los IDEs (tokens de acceso, claves API, credenciales de repositorios, etc.) y revocar aquellos que no puedan garantizarse como no comprometidos.
Más allá de la acción inmediata, hay lecciones a mediano plazo para equipos y organizaciones: minimizar la exposición de secretos en el código, usar gestores de secretos y políticas que reduzcan privilegios innecesarios, auditar de forma periódica las extensiones permitidas en entornos corporativos y emplear detección especializada que monitoree ejecuciones de binarios nativos o instalaciones masivas de extensiones. La naturaleza pública de ciertas infraestructuras, como la blockchain de Solana, está siendo aprovechada por atacantes para orquestar comunicaciones de C2; entender esas tácticas ayuda a formular respuestas más efectivas (documentación oficial sobre Solana en docs.solana.com).
El ecosistema del desarrollo es valioso y, por tanto, atractivo para los ciberdelincuentes. Las herramientas que más facilitan el trabajo cotidiano también pueden convertirse en vectores de riesgo si no se combinan buenas prácticas técnicas con vigilancia constante. En este contexto, mantener una actitud crítica frente a extensiones y componentes de terceros, y aplicar controles básicos de seguridad, sigue siendo la mejor defensa frente a campañas que buscan infiltrarse con apariencias legítimas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...