AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Extensiones maliciosas en Visual Studio Code exponen a desarrolladores a robo de credenciales y secuestro de sesiones

admin

Introducción

La comunidad de desarrolladores ha sufrido un nuevo revés en materia de ciberseguridad tras descubrirse la presencia de dos extensiones maliciosas en el Marketplace oficial de Visual Studio Code (VSCode). Estas extensiones, diseñadas para integrarse de forma transparente en el flujo de trabajo de los desarrolladores, han resultado ser vehículos para la instalación de malware especializado en el robo de información, incluyendo credenciales de acceso, capturas de pantalla y el secuestro de sesiones de navegador. Este incidente pone en evidencia la creciente sofisticación de las amenazas dirigidas al entorno de desarrollo y subraya la necesidad de reforzar los controles de seguridad en las cadenas de suministro de software.

Contexto del Incidente

El Marketplace de Visual Studio Code, con más de 50.000 extensiones disponibles y alrededor de 15 millones de usuarios activos mensuales, se ha convertido en un objetivo atractivo para actores maliciosos. Las extensiones comprometidas, diseñadas para ofrecer funcionalidades aparentemente legítimas, lograron superar los controles de publicación de la plataforma y estuvieron disponibles para su descarga durante varias semanas antes de ser identificadas y retiradas. Aunque Microsoft aún no ha divulgado el número exacto de instalaciones, estimaciones independientes sugieren que al menos varios miles de desarrolladores podrían haberse visto afectados.

Detalles Técnicos

Las extensiones identificadas estaban camufladas bajo nombres similares a utilidades de desarrollo populares, utilizando técnicas de typo-squatting para inducir la descarga accidental por parte de los usuarios. Una vez instaladas, estas extensiones ejecutaban cargas útiles ofuscadas en JavaScript, aprovechando el modelo de ejecución de extensiones de VSCode y los privilegios inherentes al contexto del editor.

– **CVE y vectores de ataque**: Aunque las extensiones no explotaban una vulnerabilidad específica de VSCode (no existe un CVE asignado a este incidente concreto), sí hacían uso de la API de Node.js expuesta por el entorno de ejecución de las extensiones para acceder al sistema de archivos, realizar capturas de pantalla (mediante paquetes como `screenshot-desktop`) y exfiltrar datos a servidores remotos mediante solicitudes HTTP cifradas.
– **TTPs (MITRE ATT&CK)**: Las técnicas observadas se corresponden con T1059 (Command and Scripting Interpreter), T1113 (Screen Capture), T1555 (Credentials from Password Stores) y T1071 (Application Layer Protocol).
– **IoC (Indicadores de Compromiso)**: Los hashes SHA-256 de los archivos de extensión, los dominios de C2 utilizados para la exfiltración (registrados recientemente y alojados en servicios de hosting anónimos), y paquetes npm maliciosos integrados en la extensión.
– **Herramientas utilizadas**: Se ha observado el uso de frameworks como Metasploit y Cobalt Strike para la generación y control de las cargas útiles secundarias, así como scripts personalizados para la automatización de la exfiltración de datos.

Impacto y Riesgos

El impacto potencial de este tipo de amenazas es considerable para organizaciones con desarrolladores que utilicen VSCode, especialmente en entornos DevOps o CI/CD donde las credenciales y tokens de acceso pueden conceder privilegios elevados a sistemas internos o recursos cloud. La capacidad de las extensiones para capturar credenciales y sesiones de navegador incrementa el riesgo de movimientos laterales y escalado de privilegios, facilitando ataques más amplios como la inyección de código malicioso en proyectos de software, robo de propiedad intelectual o incluso sabotaje de la cadena de suministro.

Medidas de Mitigación y Recomendaciones

– **Auditoría y eliminación**: Se recomienda la revisión inmediata de las extensiones instaladas en los entornos de desarrollo, eliminando cualquier extensión no verificada o sospechosa.
– **Monitorización de IoC**: Integrar los hashes y dominios identificados en las soluciones SIEM y EDR para la detección proactiva de actividad relacionada.
– **Endurecimiento de políticas**: Restringir la instalación de extensiones a fuentes verificadas y establecer controles de acceso basados en listas blancas.
– **Actualización y parches**: Mantener actualizado el entorno de VSCode y utilizar versiones que permitan un mayor control sobre la ejecución de extensiones.
– **Formación y concienciación**: Capacitar a los desarrolladores sobre los riesgos del software de terceros y las buenas prácticas en la gestión de extensiones.

Opinión de Expertos

Especialistas en ciberseguridad, como los equipos de investigación de Snyk y SentinelOne, coinciden en que los entornos de desarrollo son cada vez más un vector de ataque crítico. “El modelo abierto y la facilidad de publicación en los marketplaces de extensiones deben equilibrarse con mecanismos de revisión automatizada y análisis de comportamiento,” señala Manuel Domínguez, analista de amenazas. Además, la tendencia al uso de TTPs avanzadas en ataques a la cadena de suministro exige una respuesta coordinada entre proveedores, empresas y la comunidad de desarrolladores.

Implicaciones para Empresas y Usuarios

Desde el punto de vista normativo, la exposición de credenciales y datos personales puede suponer una infracción de la GDPR y la Directiva NIS2, con riesgos de sanciones económicas y daños reputacionales. A nivel operativo, el incidente subraya la importancia de aplicar controles Zero Trust y limitar los permisos de las cuentas utilizadas en los entornos de desarrollo, así como revisar los procedimientos de onboarding y offboarding para las extensiones y plugins.

Conclusiones

El descubrimiento de extensiones maliciosas en el Marketplace de Visual Studio Code es un recordatorio contundente de la vulnerabilidad inherente a la cadena de suministro de software moderno. Las herramientas de desarrollo, tradicionalmente consideradas seguras, se están convirtiendo en objetivos prioritarios para el cibercrimen. La respuesta adecuada exige una combinación de tecnología, procesos y concienciación, junto con una colaboración reforzada entre los actores del ecosistema. La vigilancia continua y la revisión sistemática de las extensiones instaladas deben ser una prioridad para cualquier organización que busque proteger su ciclo de vida de desarrollo.

(Fuente: www.bleepingcomputer.com)