### Ataque a Desarrolladores: Un Vector de Ataque Lucrativo Los operadores de **GlassWorm** han estado atacando sistemáticamente a los desarrolladores de software, un grupo demográfico con acceso privilegiado a repositorios de código fuente, plataformas en la nube, pipelines CI/CD y registros de paquetes. Esto convierte a los desarrolladores en un objetivo de alto valor para los ataques a la cadena de suministro de software, donde una sola estación de trabajo comprometida puede afectar a miles de organizaciones y usuarios posteriores. ### Campaña Múltiple Desde su aparición el año pasado, **GlassWorm** ha estado ejecutando una "campaña múltiple" que involucra extensiones troyanizadas de **VS Code** publicadas tanto en el **Microsoft VS Code Marketplace** como en **Open VSX**. Esta táctica permitió que el malware atacara a usuarios de forks de **VS Code** como **Cursor**, **Positron**, **Windsurf** y **VSCodium**. La campaña también introdujo código malicioso a través de paquetes npm y Python comprometidos. El objetivo final de estos ataques es desplegar un framework de robo de datos capaz de extraer credenciales, exfiltrar billeteras de criptomonedas y perfilar sistemas. ### GlassWormRAT: Robo de Datos del Navegador Las iteraciones posteriores de **GlassWorm** han desplegado un RAT de JavaScript basado en Websocket llamado **GlassWormRAT** para robar datos del navegador web y ejecutar código arbitrario. Esto incluye la instalación de una extensión de **Google Chrome** que recopila datos sensibles como capturas de pantalla, pulsaciones de teclas y contenido del portapapeles de los sistemas infectados. Según el investigador de **Endor Labs**, Kiran Raj, "Una vez activo, el malware busca en el host credenciales de desarrollador (tokens de **GitHub**, NPM, **OpenVSX**, billeteras de criptomonedas), permitiendo un mayor compromiso de repositorios y cargas de paquetes."   Los hosts infectados se convierten en infraestructura encubierta, funcionando como proxies SOCKS, servidores VNC ocultos (HVNC) y nodos de ejecución remota (a través de WebRTC o procesos Node.js generados). Esto proporciona a los atacantes acceso de red anonimizado a redes corporativas y personales, facilitando una mayor propagación. ### Infraestructura de C2 Resiliente Se informa que la actividad maliciosa ha comprometido más de 300 repositorios de **GitHub** utilizando credenciales de desarrollador robadas. Una característica clave de la operación fue el uso de cuatro canales de C2 distintos para aumentar la resiliencia: * Utilizar la **blockchain de Solana** como un resolutor de "dead drop" almacenando direcciones de servidores C2 en los campos de memo de las transacciones de la blockchain. * Consultar la red peer-to-peer de la tabla hash distribuida (DHT) de BitTorrent para recuperar datos de configuración. * Emplear **Google Calendar** como un resolutor de "dead drop" para obtener la dirección del servidor C2 de los títulos de los eventos. * Conectarse directamente a la infraestructura C2 alojada en proveedores de VPS comerciales. "La combinación de blockchain, peer-to-peer y servicios web legítimos como capas de resolución fue diseñada para ser resiliente a las interrupciones, un frente dinámico que protege los servidores C2 reales detrás de múltiples capas de indirección", declaró **CrowdStrike**. ### Takedown y Atribución El "takedown" neutralizó con éxito los cuatro canales de C2 simultáneamente, impidiendo que las máquinas infectadas recibieran nuevas instrucciones o payloads. **CrowdStrike** describió a los operadores de **GlassWorm** como "bien financiados y persistentes", atribuyendo la actividad a ciberdelincuentes probablemente con base en Rusia. Esta evaluación se basa en el comportamiento del malware de terminar la ejecución en sistemas ubicados en países de la Comunidad de Estados Independientes (CEI) y la presencia de comentarios en ruso en el código. ### Riesgos de la Cadena de Suministro de Software "La cadena de suministro de software sigue siendo una de las superficies de ataque más importantes en la computación moderna", concluyó **CrowdStrike**. "Los adversarios están convirtiendo las dependencias de una organización en herramientas, actualizaciones y bibliotecas en mecanismos de entrega armados y multiplicadores de fuerza." La firma de ciberseguridad enfatizó que "La barrera para envenenar un paquete o una extensión es baja; el radio de explosión potencial es enorme. Mientras los entornos de desarrollo, los pipelines de compilación y los repositorios de código permanezcan subprotegidos, cada organización que consume software hereda el riesgo de todos los que lo producen. **GlassWorm** demuestra que los atacantes lo saben y están invirtiendo en infraestructura resiliente para mantener un acceso persistente a los ecosistemas de desarrolladores."