La campaña Glassworm regresó con docenas de paquetes maliciosos en los marketplaces de extensiones de VS Code y Visual Studio que exfiltran tokens, credenciales y código fuente. Se insta a los equipos de seguridad a bloquear extensiones no aprobadas, ejecutar escaneos de la cadena de suministro y supervisar tokens de CI/CD y de repositorios en busca de uso anómalo.

Los equipos de seguridad están observando un resurgimiento de la campaña Glassworm, que distribuye paquetes maliciosos disfrazados de herramientas y utilidades legítimas para desarrolladores en los mercados de extensiones de Visual Studio y VS Code. Las extensiones maliciosas están diseñadas para recolectar tokens de desarrollador, claves de API, credenciales de control de versiones y código fuente, creando una vía furtiva de ataque lateral hacia sistemas de compilación, canalizaciones CI/CD y repositorios internos. Con acceso a tokens y credenciales, los atacantes pueden modificar artefactos de compilación, insertar dependencias maliciosas o exfiltrar propiedad intelectual y configuración sensible. La campaña representa una amenaza dirigida a la cadena de suministro que explota la confianza de los desarrolladores en los mercados de extensiones y los privilegios elevados que con frecuencia tienen los comandos de las herramientas de desarrollo. Las defensas recomendadas incluyen hacer cumplir listas blancas de políticas para extensiones, integrar el escaneo de la cadena de suministro en los flujos de trabajo de CI, rotar tokens y secretos almacenados en las máquinas de los desarrolladores y supervisar el uso de tokens y la actividad de los repositorios en busca de anomalías. Los respondedores de incidentes también aconsejan la revocación inmediata de tokens comprometidos, el análisis forense de los registros de compilación y la divulgación coordinada cuando puedan verse afectados códigos de terceros o clientes.