La lección de esta mañana es fea y directa: el onboarding confiable, los gestores de paquetes confiables y los marketplaces de extensiones confiables ya son mecanismos de entrega para atacantes.
Clave: Tres historias importan ahora mismo: contenido controlado por atacantes dentro de correos reales de Robinhood, una release open source falsificada que roba secretos y extensiones de VS Code preparadas para despertar más tarde.
Los atacantes abusaron del proceso de creación de cuentas de Robinhood para inyectar HTML en alertas de inicio de sesión legítimas enviadas por noreply@robinhood.com. Los mensajes pasaban SPF y DKIM, parecían reales y empujaban a las víctimas a un sitio de phishing. La conclusión es dura: confiar en el remitente ya no basta si el contenido no se sanea.
El popular paquete elementary-data fue comprometido mediante inyección de scripts en GitHub Actions. Eso expuso un token del workflow y permitió falsificar una release firmada. La versión 0.23.3 distribuyó un infostealer orientado a claves SSH, credenciales cloud, secretos CI, archivos de wallets y datos del entorno del desarrollador, con el mismo impacto llegando a imágenes contenedor.
Socket encontró 73 extensiones de OpenVSX ligadas a GlassWorm, con seis ya activadas. El nuevo truco es la paciencia: publicar algo aparentemente inocente, dejar que gane confianza y entregar la carga maliciosa en una actualización posterior. Es el mismo abuso del ecosistema, solo que más silencioso y más sucio.
En resumen: El patrón de hoy no es malware exótico. Es confianza ordinaria convertida en transporte. Si un workflow, plantilla o marketplace parece rutinario, los atacantes ya lo vieron.
KENSAI ayuda a los equipos a mapear workflows expuestos, dependencias riesgosas y puntos ciegos de superficie de desarrollador antes de que se conviertan en incidentes reales.
Iniciar escaneo gratuito →Manténganse afilados.
🗡️ Equipo de Seguridad KENSAI