Ciberseguridad 360 | Extensiones maliciosas se hacen pasar por verificadas en Visual Studio Code

Un nuevo estudio de entornos de desarrollo integrados (IDE) como Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA y Cursor ha revelado debilidades en la forma en que gestionan el proceso de verificaci�n de extensiones, lo que en �ltima instancia permite a los atacantes ejecutar c�digo malicioso en las m�quinas de los desarrolladores.

"Descubrimos que las comprobaciones de verificaci�n defectuosas en Visual Studio Code permiten a los editores a�adir funcionalidad a las extensiones mientras mantienen el icono verificado", dijeron los investigadores de OX Security Nir Zadok y Moshe Siman Tov Bustan en un informe compartido con The Hacker News. "Esto resulta en la posibilidad de que extensiones maliciosas aparezcan verificadas y aprobadas, creando una falsa sensaci�n de confianza".

En concreto, el an�lisis descubri� que Visual Studio Code env�a una solicitud HTTP POST al dominio "marketplace.visualstudio[.]com" para determinar si una extensi�n est� verificada o no.

El m�todo de explotaci�n consiste esencialmente en crear una extensi�n maliciosa con los mismos valores verificables que una extensi�n ya verificada, como la de Microsoft, y eludir las comprobaciones de confianza.

Como resultado, permite que las extensiones falsas parezcan verificadas a los desarrolladores desprevenidos, al tiempo que contienen c�digo capaz de ejecutar comandos del sistema operativo.

Desde el punto de vista de la seguridad, se trata de un caso cl�sico de abuso de la carga lateral de extensiones, en el que malos actores distribuyen plugins fuera del mercado oficial. Sin la aplicaci�n adecuada de la firma de c�digo o la verificaci�n de un editor de confianza, incluso las extensiones de aspecto leg�timo pueden ocultar secuencias de comandos peligrosas.

Para los atacantes, esto supone un punto de entrada de baja barrera para lograr la ejecuci�n remota de c�digo, un riesgo especialmente grave en entornos de desarrollo donde las credenciales confidenciales y el c�digo fuente son a menudo accesibles.

En una prueba de concepto demostrada por la empresa de ciberseguridad, la extensi�n se configur� para abrir la aplicaci�n Calculadora en un equipo Windows, lo que puso de manifiesto su capacidad para ejecutar comandos en el host subyacente.

Al identificar los valores utilizados en las solicitudes de verificaci�n y modificarlos, se descubri� que es posible crear un archivo de paquete VSIX de forma que la extensi�n maliciosa parezca leg�tima.

OX Security dijo que fue capaz de reproducir el fallo a trav�s de otros IDEs como IntelliJ IDEA y Cursor modificando los valores utilizados para la verificaci�n sin hacerles perder su estado verificado.

En respuesta a las revelaciones responsables, Microsoft dijo que el comportamiento es por dise�o y que los cambios evitar�n que la extensi�n VSIX se publique en el Marketplace debido a la verificaci�n de la firma de extensi�n que est� activada por defecto en todas las plataformas.

Sin embargo, la empresa de ciberseguridad descubri� que el fallo pod�a explotarse el 29 de junio de 2025. Los resultados muestran una vez m�s que confiar �nicamente en el s�mbolo verificado de las extensiones puede ser arriesgado, ya que los atacantes pueden enga�ar a los desarrolladores para que ejecuten c�digo malicioso sin su conocimiento. Para mitigar estos riesgos, se aconseja instalar extensiones directamente desde los mercados oficiales, en lugar de utilizar archivos de extensi�n VSIX compartidos en l�nea.

"La capacidad de inyectar c�digo malicioso en extensiones, empaquetarlas como archivos VSIX/ZIP e instalarlas manteniendo los s�mbolos verificados en m�ltiples plataformas de desarrollo importantes supone un grave riesgo", afirman los investigadores. "Esta vulnerabilidad afecta particularmente a los desarrolladores que instalan extensiones desde recursos en l�nea como GitHub".

Fuente: thehackernews