Mensaje de Gate News, 28 de abril — Investigadores de seguridad han identificado 73 extensiones maliciosas plantadas por el malware GlassWorm en el registro de OpenVSX, con seis ya activadas para robar las carteras de criptomonedas y las credenciales de los desarrolladores. Las extensiones se subieron como copias falsas de listados legítimos, con código malicioso inyectado mediante actualizaciones posteriores.
GlassWorm apareció por primera vez en octubre de 2025, utilizando caracteres Unicode invisibles para ocultar código dirigido a los datos de las carteras cripto y a las credenciales de los desarrolladores. Desde entonces, la campaña se ha extendido por paquetes de npm, repositorios de GitHub, Visual Studio Code Marketplace y OpenVSX. A mediados de marzo de 2026, una gran oleada afectó a cientos de repositorios y a docenas de extensiones, lo que motivó la intervención de varios grupos de investigación en seguridad. Los atacantes emplean una estrategia de activación diferida: distribuyen primero extensiones limpias para crear una base de instalación antes de desplegar el malware mediante actualizaciones. Los investigadores de Socket identificaron tres métodos de entrega: cargar un segundo paquete VSIX desde GitHub mediante comandos de la CLI, implementar módulos compilados específicos de la plataforma como archivos .node que contienen la lógica maliciosa central, y usar JavaScript fuertemente ofuscado que se decodifica en tiempo de ejecución para descargar e instalar cargas maliciosas.
La amenaza va más allá de OpenVSX. El 22 de abril, el registro de npm alojó brevemente una versión maliciosa de la CLI de Bitwarden bajo el nombre oficial del paquete durante 93 minutos. El paquete comprometido robó tokens de GitHub, tokens de npm, claves SSH, credenciales de AWS y Azure, y secretos de GitHub Actions. Bitwarden, que presta servicio a más de 10 millones de usuarios en más de 50.000 empresas, confirmó la conexión con una campaña más amplia rastreada por investigadores de Checkmarx. Los ataques de cadena de suministro explotan el desfase entre la publicación de paquetes y la verificación del contenido; Sonatype informó de aproximadamente 454.600 paquetes maliciosos que infestaron los registros en 2025.
Socket recomienda a los desarrolladores que instalaron cualquiera de las 73 extensiones de OpenVSX marcadas que roten todas las credenciales secretas y limpien sus entornos de desarrollo. Los observadores de seguridad están monitoreando si las 67 extensiones restantes, que permanecen inactivas, se activan en los próximos días y si OpenVSX implementa controles de revisión más estrictos para las actualizaciones de extensiones.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El protocolo de préstamos de Bitcoin Tropykus cierra, las funciones de depósitos y préstamos cesarán el 27 de julio
Mensaje de Gate News, 29 de abril — El protocolo de préstamos de Bitcoin Tropykus anunció un cierre por fases de su versión actual, con la función de depósitos y préstamos que se descontinuará permanentemente. Los usuarios pueden retirar fondos y reembolsar préstamos hasta el 27 de julio de 2026, después de lo cual las interacciones solo se admitirán directamente con contratos inteligentes
GateNewsHace4m
El usuario pierde ~$1M en yvWETH después de autorizar un contrato no verificado
Mensaje de Gate News, 29 de abril — Un usuario sufrió una pérdida de aproximadamente $1 millones en yvWETH, una posición de Alchemix Yearn Vault, después de autorizar un contrato no verificado anteriormente, según el monitoreo de PeckShield.
El contrato no verificado fue creado hace 10 días y contiene una
GateNewsHace19m
El monedero de Bitcoin del cofundador de ASOS se vació de ~$4M tras su muerte en Tailandia
Mensaje de Gate News, 29 de abril — Tras la muerte del cofundador de ASOS Quentin Griffiths, que cayó desde un edificio en Tailandia, aproximadamente $4 millones en Bitcoin fueron transferidos fuera de su monedero a lo largo de varios días en tres transacciones separadas a direcciones desconocidas.
El hijo mayor de Griffiths, Joel,
GateNewsHace41m
La bóveda YieldCore-3rd-deal del Trading Protocol fue explotada por $398K
Mensaje de Gate News, 29 de abril: La bóveda YieldCore-3rd-deal del Trading Protocol fue explotada en un ataque que resultó en la pérdida de aproximadamente $398,000, según el analista on-chain PeckShield. El ataque explotó una vulnerabilidad de verificación faltante de permisos del llamante en el contrato inteligente de la bóveda,
GateNewsHace57m
Ciudadano francés condenado a 8 años de prisión por blanqueo de dinero de más de $470 millones mediante empresas pantalla y cuentas de cripto
Mensaje de Gate News, 29 de abril — Un ciudadano franco-argentino, Maximilien de Hoop Cartier, ha sido condenado a ocho años de prisión por operar un intercambio de criptomonedas no autorizado y blanquear más de $470 millones mediante empresas pantalla y cuentas de cripto, según el Departamento de Justicia de Estados Unidos.
GateNewshace1h
Usuarios de Robinhood Objetivados por Campaña de Phishing que Explota la Función de Alias con Punto de Gmail
Mensaje de Gate News, 28 de abril — Los usuarios de Robinhood han sido objetivo de una campaña de phishing que explotó la función de "alias con punto" de Gmail junto con debilidades en el proceso de creación de cuentas de la plataforma. Los atacantes registraron cuentas falsas de Robinhood con direcciones de correo ligeramente modificadas, aprovechando el comportamiento de Gmail de ignorar los puntos en los nombres de usuario para enrutar los correos electrónicos generados por el sistema a las bandejas de entrada de usuarios legítimos.
La campaña incluyó la inyección de código HTML malicioso a través del campo opcional "nombre del dispositivo" durante la configuración de la cuenta. Esto permitió que enlaces de phishing y texto de advertencia falso aparecieran dentro de correos electrónicos oficiales de "[email protected]" que superaron comprobaciones de autenticación como SPF, DKIM y DMARC, haciéndolos parecer legítimos para los destinatarios. Los usuarios que hicieron clic en el botón de phishing fueron dirigidos a sitios de inicio de sesión falsos diseñados para capturar sus credenciales.
Robinhood confirmó que los correos de phishing no resultaron de una brecha del sistema, sino más bien del abuso de su flujo de creación de cuentas. La empresa indicó que la información personal y los fondos no se vieron afectados. Se aconsejó a los usuarios eliminar los correos sospechosos y acceder a sus cuentas directamente a través de la aplicación oficial o el sitio web en lugar de hacer clic en enlaces desconocidos.
El incidente refleja una tendencia más amplia en el sector cripto, donde los ataques de phishing e ingeniería social están provocando pérdidas significativas. La firma de seguridad Hacken informó que este tipo de ataques representó millones en pérdidas durante el primer trimestre de 2026, destacando cómo los atacantes atacan cada vez más el comportamiento de los usuarios y las brechas en el diseño de las plataformas, en lugar de intentar intrusiones directas al sistema.
GateNewshace6h
