Vulnerabilidad crítica en Visual Studio Code permite extensiones maliciosas

Un reciente estudio realizado por la empresa de ciberseguridad OX Security ha revelado graves fallos de seguridad en algunos de los entornos de desarrollo integrados (IDE) más populares del mundo, incluidos Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA y Cursor. Estos fallos afectan directamente al proceso de verificación de extensiones, abriendo la puerta a ataques mediante ejecución remota de código a través de extensiones maliciosas que aparentan ser confiables.

Extensiones maliciosas con símbolo verificado: una amenaza creciente

Los investigadores Nir Zadok y Moshe Siman Tov Bustan, de OX Security, publicaron un informe detallado en colaboración con The Hacker News, en el que describen cómo las verificaciones defectuosas de extensiones permiten que actores maliciosos manipulen el sistema de confianza del marketplace de Visual Studio Code.

Citar"Descubrimos que las comprobaciones de verificación defectuosas en Visual Studio Code permiten a los editores agregar funcionalidad a las extensiones mientras mantienen el ícono verificado", indicaron los expertos. "Esto genera una falsa sensación de seguridad entre los desarrolladores."

¿Cómo funciona el ataque?

El estudio técnico detalla que Visual Studio Code realiza una solicitud HTTP POST al dominio marketplace.visualstudio[.]com para verificar si una extensión está marcada como confiable. El fallo reside en que esta verificación puede ser manipulada, permitiendo a los atacantes crear una extensión maliciosa que imita los atributos de una ya verificada, como una publicada por Microsoft, y eludir los controles de seguridad.

Esta técnica, conocida como abuso de carga lateral de extensiones, facilita la distribución de complementos maliciosos que pueden ejecutar comandos del sistema operativo sin el consentimiento del usuario.

Ejecución remota de código y robo de datos sensibles

En una prueba de concepto (PoC), los investigadores demostraron cómo una extensión maliciosa podría, por ejemplo, abrir la aplicación Calculadora de Windows, evidenciando la capacidad para ejecutar comandos en el host afectado. Pero el verdadero riesgo es mucho mayor: en entornos de desarrollo, los atacantes pueden tener acceso a:

• Credenciales confidenciales
• Repositorios de código fuente
• Tokens de autenticación
• Secretos API y claves SSH

Esto convierte a los IDE en vectores de ataque críticos, especialmente en organizaciones que dependen del desarrollo de software como parte de sus operaciones principales.

VSIX y ZIP: formatos vulnerables

La investigación también demuestra que al manipular los valores de verificación utilizados en los paquetes .VSIX y .ZIP, los atacantes pueden conservar el símbolo de confianza incluso al distribuir las extensiones fuera del marketplace oficial. Esta técnica es funcional en Visual Studio Code, IntelliJ IDEA y Cursor, lo que resalta la extensión del problema en múltiples plataformas líderes de desarrollo.

Respuesta de Microsoft y evaluación del riesgo

Microsoft respondió a la divulgación indicando que el comportamiento actual es "por diseño", subrayando que el sistema de verificación de firmas impide que extensiones maliciosas sean publicadas en el Visual Studio Marketplace. Sin embargo, OX Security aclaró que la vulnerabilidad seguía siendo explotable a fecha del 29 de junio de 2025, especialmente a través de la distribución fuera del marketplace.

Esto implica que los desarrolladores que instalan extensiones desde fuentes externas como GitHub o foros técnicos podrían estar en riesgo sin saberlo.

Recomendaciones para desarrolladores y equipos de seguridad

Ante esta amenaza, los investigadores recomiendan enfáticamente las siguientes medidas para mitigar el riesgo:

• Instalar extensiones exclusivamente desde los marketplaces oficiales, como el Visual Studio Marketplace o JetBrains Plugin Repository.
• Evitar descargar archivos VSIX o ZIP compartidos en línea sin verificación de firma digital.
• Aplicar políticas de seguridad en IDE corporativos, como restringir la instalación de extensiones no aprobadas.
• Auditar extensiones instaladas regularmente, especialmente en entornos que manejan datos sensibles o propiedad intelectual.

Además, es fundamental que los equipos de desarrollo mantengan buenas prácticas de higiene de seguridad, incluyendo la rotación de secretos, autenticación multifactor (MFA) y segmentación de entornos de desarrollo.

Confianza comprometida en el ecosistema de desarrollo

Este incidente demuestra que los símbolos de verificación visual en los marketplaces no garantizan la legitimidad o seguridad de una extensión. Los desarrolladores deben ir más allá de la apariencia de confianza y aplicar una mentalidad de "cero confianza" en su entorno de trabajo.

La posibilidad de inyectar código malicioso en extensiones, empaquetarlas como archivos VSIX o ZIP y mantener símbolos verificados representa una amenaza real para el ecosistema del desarrollo de software. Este tipo de vulnerabilidad expone tanto a desarrolladores individuales como a grandes empresas a ataques que pueden comprometer información crítica y abrir puertas traseras en sistemas empresariales.

La industria debe considerar urgentemente mejoras en los sistemas de verificación de extensiones, incluyendo verificaciones de firma digital más robustas, validación del contenido del código fuente y políticas de aprobación más estrictas para entornos de desarrollo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta