dropper Zig GlassWorm: La campaña GlassWorm ha incorporado un dropper Zig en su arsenal, un componente malicioso que está infectando silenciosamente herramientas de desarrollo como Visual Studio Code, Cursor y VSCodium a través de extensiones falsas. Detectada por primera vez en 2025, esta ofensiva ha escalado desde paquetes npm maliciosos hasta convertirse en un ataque sofisticado a la cadena de suministro de software, aprovechando repositorios como GitHub y mercados de extensiones.
Puntos clave del ataque con dropper Zig de GlassWorm
- La campaña GlassWorm distribuye un binario compilado en Zig oculto dentro de una extensión maliciosa para OpenVSX que suplanta a WakaTime.
- Este binario actúa como un dropper furtivo que escanea el sistema en busca de IDEs instalados y les inyecta una extensión maliciosa de segunda etapa.
- La técnica permite una infección cruzada entre múltiples entornos de desarrollo (VS Code, Cursor, VSCodium), evadiendo los sandboxes de JavaScript.
- El malware final roba datos, instala un RAT persistente y una extensión maliciosa para Chrome, evitando sistemas con configuración regional rusa.
- Los investigadores urgen a tratar cualquier máquina con las extensiones «specstudio/code-wakatime-activity-tracker» o «floktokbok.autoimport» como comprometida y rotar todas las credenciales expuestas.
La evolución de GlassWorm hacia ataques masivos de cadena de suministro
Desde sus inicios, la campaña GlassWorm ha demostrado una notable capacidad de adaptación. Comenzó infiltrando paquetes en el registro npm para atacar a desarrolladores de forma aislada. Sin embargo, en lo que llevamos de 2026, su operativa ha mutado hacia un modelo de ataque de cadena de suministro a gran escala, afectando simultáneamente a GitHub, npm y el ecosistema de extensiones de VS Code. Según apuntan fuentes del sector, el objetivo ya no es el desarrollador individual, sino comprometer la infraestructura de desarrollo completa de una organización. dropper Zig GlassWorm es clave para entender el alcance de esta amenaza.
Tal y como ha trascendido en el informe de Aikido, este salto cualitativo incluye incluso el despliegue de RATs (Remote Access Trojans) a través de extensiones de navegador falsas, ampliando la superficie de ataque más allá del entorno de programación. La adopción de un dropper Zig para esta nueva fase no es casual: permite a los atacantes ejecutar código nativo fuera del sandbox de JavaScript, otorgándoles un control total del sistema anfitrión. dropper Zig GlassWorm es clave para entender el alcance de esta amenaza.
El uso de código nativo compilado para eludir sandboxes
No es la primera vez que GlassWorm utiliza código compilado de forma nativa dentro de extensiones, pero su implementación actual es más sigilosa y efectiva. En lugar de emplear el binario como carga útil directa, lo utiliza como un intermediario furtivo. Este dropper Zig se carga durante la activación de la extensión falsa y, con los privilegios del sistema, ejecuta en silencio un proceso que busca y compromete todos los IDEs que encuentra. Esta capa de indirección dificulta enormemente la detección por parte de soluciones de seguridad que monitorizan el comportamiento dentro del sandbox de JavaScript de las extensiones.
Cómo funciona el dropper Zig en extensiones maliciosas de VS Code
El mecanismo de infección es un ejemplo de ingeniería inversa aplicada con fines maliciosos. La campaña distribuye una extensión maliciosa en OpenVSX (un mercado alternativo de extensiones para VS Code) que se hace pasar por la popular herramienta de métricas de productividad WakaTime. Dentro de esta extensión se embebe el binario compilado en Zig.
Una vez el desarrollador instala la extensión, el dropper Zig se activa. Su primera acción es realizar un reconocimiento del sistema, buscando instalaciones de entornos de desarrollo integrado como VS Code, Cursor o VSCodium. Para cada IDE detectado, el dropper descarga desde GitHub una extensión de segunda etapa, camuflada como un plugin legítimo, y la instala utilizando las propias herramientas de gestión de extensiones del IDE. Este método le permite inyectar el malware de forma nativa en cada entorno, garantizando la persistencia. Finalmente, el instalador inicial se autodestruye para eliminar rastros.
Esta técnica de «infección cruzada» es particularmente peligrosa porque convierte una única incursión en una propagación lateral automática dentro de la máquina del desarrollador. Si un profesional utiliza varios editores, todos quedarán comprometidos.
La segunda etapa: el dropper GlassWorm y su infraestructura de mando y control
La extensión de segunda etapa que despliega el dropper Zig es el conocido dropper GlassWorm, cuya firma ya había sido identificada en campañas anteriores. Los analistas de Aikido destacan dos características peculiares: posee una funcionalidad de geoevación que evita ejecutarse en sistemas configurados con idioma o región rusa, y establece comunicación con un servidor de mando y control (C2) basado en la blockchain de Solana, una elección inusual que podría buscar ocultar el tráfico malicioso.
Una vez establecida, esta carga final ejecuta un amplio abanico de acciones hostiles: exfiltrar datos sensibles del sistema y del entorno de desarrollo, instalar un RAT para acceso remoto persistente y, de forma destacada, desplegar una extensión maliciosa en el navegador Chrome del usuario, ampliando así el radio de acción del ataque más allá del IDE.
Consecuencias y medidas de mitigación ante el ataque de GlassWorm
El impacto de esta campaña es severo para cualquier equipo de desarrollo. Un sistema comprometido significa que todas las credenciales, claves de API, tokens de acceso y código fuente almacenados en ese entorno pueden haber sido robados. Además, la puerta trasera instalada otorga a los atacantes un acceso continuado que puede usarse para moverse lateralmente en la red corporativa o sabotear futuros despliegues.
Las recomendaciones de los expertos son contundentes. Si encuentras instaladas las extensiones maliciosas «specstudio/code-wakatime-activity-tracker» o «floktokbok.autoimport» en cualquiera de tus IDEs, debes asumir que la máquina está totalmente comprometida. El primer paso es aislar el sistema de la red. A continuación, es imperativo rotar inmediatamente todas las credenciales, secretos y claves de acceso que pudieran haber estado almacenadas en ese entorno, incluyendo las de servicios en la nube, repositorios Git y registros de paquetes.
Indicadores de compromiso y respuesta ante incidentes
Además de los nombres de extensiones, los investigadores han publicado una lista de Indicadores de Compromiso (IoCs) que incluyen hashes de los binarios Zig, dominios C2 y patrones de comportamiento del malware. Para los equipos de seguridad, se recomienda monitorizar la ejecución de procesos inusuales desde los directorios de extensiones de los IDEs y el tráfico de red saliente hacia direcciones IP o dominios asociados con la infraestructura de Solana no autorizada.
La defensa proactiva pasa por habilitar las restricciones de ejecución de código nativo en las políticas de los IDEs cuando sea posible, verificar minuciosamente el origen y los permisos de cualquier extensión antes de instalarla (prefiriendo siempre los mercados oficiales) y mantener una higiene estricta de secretos, utilizando herramientas de gestión de credenciales en lugar de almacenarlas en texto plano en el entorno de desarrollo.
La aparición de un dropper Zig en la campaña GlassWorm subraya una tendencia creciente: los actores de amenazas están adoptando lenguajes de programación menos convencionales y más eficientes para evadir las detecciones basadas en firmas y lograr una ejecución más privilegiada. En 2026, la seguridad de la cadena de suministro de desarrollo de software no es un añadido, es la primera línea de defensa.
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.