Un grupo de investigadores israelíes ha descubierto extensiones maliciosas en el mercado de Visual Studio Code (VSCode) que han afectado a más de 100 organizaciones. Utilizando una copia troyanizada del popular tema ‘Dracula Official‘, lograron infiltrar código que recopilaba información del sistema. Este hallazgo pone en evidencia serias deficiencias de seguridad en el mercado de extensiones de VSCode, gestionado por Microsoft. La investigación reveló miles de extensiones potencialmente peligrosas, algunas con millones de descargas, lo que subraya la necesidad urgente de mejoras en la seguridad del mercado.

La infiltración del tema ‘Dracula’

En mayo de 2024, investigadores israelíes llevaron a cabo un experimento para explorar la seguridad del mercado de Visual Studio Code (VSCode). Utilizaron una copia troyanizada del popular tema ‘Dracula Official’, una extensión con más de 7 millones de instalaciones, renombrándola como ‘Darcula’. Esta extensión, aparentemente legítima, contenía un script adicional que recopilaba información del sistema y la enviaba a un servidor remoto. La estrategia utilizada se conoce como “typosquatting“, un método que explota errores tipográficos comunes para engañar a los usuarios.

Código y recopilación de datos

El código adicional insertado en la extensión ‘Darcula‘ recopilaba información como el nombre del host, el número de extensiones instaladas, el nombre de dominio del dispositivo y la plataforma del sistema operativo. Esta información se enviaba a través de una solicitud HTTPS POST a un servidor remoto. Sorprendentemente, las herramientas de detección de endpoint (EDR) no detectaron esta actividad debido a la naturaleza permisiva de VSCode, que está diseñado para leer numerosos archivos, ejecutar comandos y crear procesos secundarios.

Impacto y alcance

La extensión ‘Darcula‘ se instaló inadvertidamente en múltiples objetivos de alto valor, incluyendo una empresa pública con una capitalización de mercado de 483 mil millones de dólares, grandes compañías de seguridad y una red de cortes de justicia nacional. Aunque los investigadores no revelaron los nombres de las empresas afectadas, la magnitud del experimento subraya la vulnerabilidad del mercado de extensiones de VSCode.

Hallazgos alarmantes en el mercado de extensiones

Tras el éxito del experimento, los investigadores profundizaron en la seguridad del mercado de extensiones de VSCode utilizando una herramienta personalizada llamada ‘ExtensionTotal’. Esta herramienta les permitió identificar extensiones de alto riesgo, descomprimirlas y analizar fragmentos de código sospechosos. Los resultados fueron preocupantes:

• 1.283 extensiones contenían código malicioso conocido, con 229 millones de instalaciones.
• 8.161 extensiones se comunicaban con direcciones IP codificadas.
• 1.452 extensiones ejecutaban archivos desconocidos.
• 2.304 extensiones usaban repositorios de GitHub de otros editores, indicando que eran imitaciones.

Un ejemplo notable es una extensión de embellecimiento de código (CWL Beautifier) que contenía un shell reverso, permitiendo a los cibercriminales acceder de forma remota al sistema comprometido.

Deficiencias de seguridad en el VSCode Marketplace

La investigación destaca las serias deficiencias en la seguridad del mercado de extensiones de VSCode. La falta de controles estrictos y mecanismos de revisión de código permite a los actores maliciosos abusar de la plataforma. Los investigadores advirtieron que las extensiones de VSCode representan un vector de ataque expuesto y abusado, con alta visibilidad y riesgo significativo. Esta situación representa una amenaza directa para las organizaciones y requiere la atención urgente de la comunidad de seguridad.

Futuras medidas y herramientas

Todos los hallazgos de extensiones maliciosas fueron reportados a Microsoft para su eliminación. Sin embargo, la mayoría de estas extensiones aún estaban disponibles para su descarga en el momento de la publicación del informe. Los investigadores planean publicar su herramienta ‘ExtensionTotal’ la próxima semana, liberándola como una herramienta gratuita para ayudar a los desarrolladores a escanear sus entornos en busca de posibles amenazas.

BleepingComputer contactó a Microsoft para consultar si planean revisar la seguridad del mercado de Visual Studio y adoptar medidas adicionales para dificultar el typosquatting y la suplantación de identidad. Hasta el momento de la publicación, Microsoft no ha respondido.

Conclusión

La investigación sobre las extensiones maliciosas de VSCode subraya la necesidad urgente de mejorar la seguridad del mercado de extensiones. Los desarrolladores y las organizaciones deben estar atentos y tomar medidas proactivas para proteger sus entornos de desarrollo. La disponibilidad de herramientas como ‘ExtensionTotal‘ será crucial para detectar y mitigar amenazas potenciales, pero también es fundamental que Microsoft implemente controles más rigurosos para garantizar la seguridad de su plataforma.