La campaña de ciberespionaje GlassWorm ha mostrado una evolución técnica significativa. Investigadores han identificado un nuevo componente que utiliza el lenguaje de programación Zig para crear un dropper más sigiloso. Su objetivo es comprometer todos los entornos de desarrollo integrado en el sistema de un programador. El vector de entrada fue una extensión maliciosa en Open VSX, suplantando a la herramienta de métricas WakaTime.
Técnica de infección cross-IDE y uso del lenguaje Zig 🕵️
El dropper, escrito en Zig, se aprovecha de la capacidad de este lenguaje para compilar a código C limpio y evitar detecciones simples. Una vez ejecutado, escanea la máquina en busca de instalaciones de IDEs populares como VS Code, JetBrains o Eclipse. Posteriormente, inyecta código malicioso en los plugins o configuraciones de cada entorno para mantener persistencia y robar credenciales o código fuente. El uso de Zig complica el análisis estático.
Tu nuevo plugin de productividad viene con regalo sorpresa 🎁
Nada como instalar una extensión que promete ayudarte a medir tu tiempo de coding para descubrir que, en realidad, es ella la que está trabajando más que tú. Mientras tú escribes líneas de código, el plugin se ocupa de una tarea paralela: exportar tu proyecto a servidores remotos. Es la definición moderna de trabajo en equipo, aunque tu compañero de equipo no esté en nómina y tenga malas intenciones.