Investigaciones recientes han puesto en evidencia una serie de deficiencias en la seguridad del VSCode Marketplace, el mercado de extensiones gestionado por Microsoft, ya que se descubrió un gran número de aplicaciones maliciosas que representan una amenaza para los desarrolladores y usuarios.
Todo esto empezó como un experimento que buscaba revelar posibles vulnerabilidades en el marketplace. Utilizando una técnica conocida como “typosquatting”, crearon una versión troyanizada del popular tema ‘Dracula Official’, renombrándola como ‘Darcula’. Este tema es ampliamente utilizado debido a su modo oscuro y su paleta de colores de alto contraste, con más de 7 millones de instalaciones en esta tienda digital
La extensión falsa Darcula contenía, además del código legítimo del tema original, un script oculto que recopilaba información del sistema. Este script robaba datos como el nombre del host, el número de extensiones instaladas, el nombre de dominio del dispositivo y la plataforma del sistema operativo, enviándolos a un servidor remoto.
Lo más preocupante de este hallazgo es que la extensión maliciosa no fue detectada por las herramientas de seguridad de la tienda digital. Debido a la naturaleza permisiva de VSCode, diseñado para leer numerosos archivos y ejecutar comandos, los filtros de seguridad no pudieron identificar la actividad maliciosa.
Como resultado, la extensión falsa se instaló en más de 100 organizaciones, incluyendo una empresa pública con una capitalización de mercado de 483 mil millones de dólares, varias compañías de seguridad y una red de cortes de justicia nacional.
Los investigadores optaron por no revelar los nombres de las empresas afectadas, pero la magnitud del experimento puso en evidencia la vulnerabilidad del VSCode Marketplace y cómo se está generando un patrón en la tienda digital que pone en riesgo a sus usuarios.
La investigación no se detuvo y las vulnerabilidades tampoco
Después del éxito inicial del experimento, los investigadores llevaron a cabo un análisis más profundo de la seguridad del VSCode Marketplace utilizando una herramienta personalizada llamada ExtensionTotal. Esta herramienta les permitió identificar extensiones de alto riesgo, descomprimirlas y analizar fragmentos de código sospechosos. Los resultados fueron los siguientes:
- 1.283 extensiones contenían código malicioso conocido, acumulando 229 millones de instalaciones.
- 8.161 extensiones se comunicaban con direcciones IP codificadas.
- 1.452 extensiones ejecutaban archivos desconocidos.
- 2.304 extensiones utilizaban repositorios de GitHub de otros editores, lo que indicaba que eran imitaciones.
Un ejemplo notable encontrado por los investigadores fue una extensión de embellecimiento de código (CWL Beautifier) que permitía a los cibercriminales acceder de forma remota al sistema comprometido.
Estos hallazgos ponen en evidencia serias deficiencias en la seguridad del VSCode Marketplace. La falta de controles estrictos y mecanismos de revisión de código permite a los actores maliciosos abusar de la plataforma para llegar a sus víctimas con facilidad.
Los investigadores advirtieron que las extensiones de VSCode representan un vector de ataque expuesto y abusado, con alta visibilidad y riesgo significativo.
Esta no es la primera vez que Microsoft es cuestionada por este tema. La empresa ya había sido señalada por diversos problemas de seguridad en VSCode, incluyendo vulnerabilidades que permitían a ciberdelincuentes hacerse pasar por extensiones legítimas para robar tokens de autenticación de los desarrolladores.
Para abordar estos problemas, los investigadores planifican publicar su herramienta ‘ExtensionTotal’, liberándola como una herramienta gratuita para ayudar a los desarrolladores a escanear sus entornos en busca de posibles amenazas. Esta herramienta permitirá identificar extensiones de alto riesgo y potencialmente maliciosas en VSCode.
Además, todos los hallazgos de extensiones maliciosas fueron reportados a Microsoft para su eliminación. Sin embargo, en el momento de la publicación del informe, la mayoría de estas extensiones aún estaban disponibles para su descarga, por lo que los usuarios y organizaciones siguen expuestos a este tipo de extensiones que esconden malware en sus funciones.
Últimas Noticias
Xbox lanza nueva consola híbrida: conoce todo sobre Project Helix
Esta nueva plataforma, cuyo nombre es aún provisional, promete compatibilidad total con juegos de Xbox y PC
Gana hasta 10.000 euros con esta convocatoria de Microsoft: quiénes pueden acceder y requisitos
La compañía lanza una convocatoria del Fondo Comunitario de Madrid para impulsar el impacto social en la región a través del desarrollo de proyectos
Cómo conseguir audio de alta calidad en YouTube Music en minutos
Para lograr la mejor calidad de sonido en la app de música de YouTube, es necesario acceder a las opciones avanzadas de la aplicación
Oracle planearía miles de despidos por gasto masivo en sus centros de datos de IA
Un ambicioso giro hacia la computación en la nube y el uso extensivo de inteligencia artificial lleva a Oracle a eliminar puestos que considera obsoletos
Sam Altman admite que OpenAI no puede controlar lo que hace su IA en manos del Pentágono
El reciente acuerdo entre OpenAI y el Departamento de Defensa reaviva preocupaciones sobre la autonomía de las tecnológicas y el poder del gobierno
