AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Descubiertas extensiones maliciosas en VS Code Marketplace que distribuyen malware de tipo stealer

admin

#### 1. Introducción

Investigadores de ciberseguridad han detectado recientemente dos extensiones maliciosas en el marketplace oficial de Visual Studio Code (VS Code), la popular plataforma de desarrollo de Microsoft. Estas extensiones, que se presentaban como una aparente mejora estética y como un asistente de codificación basado en inteligencia artificial, estaban diseñadas para infectar los sistemas de los desarrolladores con malware de tipo stealer. El incidente pone de relieve la creciente sofisticación de las amenazas dirigidas al ecosistema DevSecOps y subraya la necesidad de revisar y fortalecer las políticas de seguridad en la cadena de suministro de software.

#### 2. Contexto del Incidente

La proliferación de extensiones en los repositorios oficiales de herramientas de desarrollo ha abierto nuevas vías de ataque para los actores maliciosos. VS Code, con más de 14 millones de usuarios activos mensuales y un marketplace que supera las 40.000 extensiones, se ha convertido en un objetivo atractivo para campañas de malware orientadas a desarrolladores y equipos DevOps. En este caso, las extensiones identificadas se hacían pasar por «Dark Premium Theme» (un supuesto tema oscuro premium) y «AI Coding Assistant» (asistente de codificación con IA), empleando técnicas de ingeniería social para atraer descargas e instalaciones.

#### 3. Detalles Técnicos

Las extensiones maliciosas, identificadas bajo los nombres `dark-premium-theme` y `ai-coding-assistant`, contenían cargas ocultas que se activaban tras la instalación. El análisis de los investigadores revela que ambas extensiones incluían scripts ofuscados que se ejecutaban en el postinstall, aprovechando la capacidad de VS Code para ejecutar código Node.js en el entorno del usuario.

**Vectores de ataque:**
– **Descarga de payloads adicionales:** Tras la instalación, las extensiones establecían conexiones a dominios controlados por los atacantes para descargar ejecutables adicionales, eludiendo así los controles de seguridad del marketplace.
– **Funcionalidad de stealer:** El payload principal estaba orientado al robo de credenciales, cookies de sesión, claves SSH y tokens de acceso a servicios en la nube (AWS, Azure, GitHub).
– **Técnicas MITRE ATT&CK:** El ataque se asocia principalmente con las técnicas T1059 (Command and Scripting Interpreter), T1086 (PowerShell), T1566 (Phishing), y T1204 (User Execution).
– **Indicadores de compromiso (IoC):** Los dominios empleados (`vscode-theme-premium[.]com`, `aicoding-helper[.]net`) y hashes de los binarios descargados han sido publicados por los investigadores para facilitar la detección en entornos corporativos.

**Exploits conocidos y frameworks empleados:** Aunque no se ha detectado el uso directo de frameworks como Metasploit o Cobalt Strike en la carga inicial, los TTP observados son habituales en campañas de malware modular, donde el primer payload actúa como dropper para cargas más avanzadas.

#### 4. Impacto y Riesgos

El impacto de este incidente es significativo, especialmente para organizaciones que confían en VS Code para el desarrollo de software seguro y gestión de pipelines CI/CD. Las extensiones sumaron más de 5.000 instalaciones antes de ser retiradas, exponiendo potencialmente credenciales corporativas, secretos de API y activos críticos de la infraestructura. El riesgo de escalada lateral y movimiento en redes internas es elevado si los dispositivos comprometidos disponen de acceso privilegiado.

Desde una perspectiva de cumplimiento, la exposición o filtración de datos personales o información corporativa confidencial puede suponer violaciones graves del Reglamento General de Protección de Datos (GDPR) y de la directiva NIS2, con sanciones que pueden alcanzar hasta el 4% de la facturación anual global.

#### 5. Medidas de Mitigación y Recomendaciones

– **Revisión de extensiones instaladas:** Auditar de inmediato todas las extensiones presentes en los entornos de desarrollo e identificar posibles instalaciones de los paquetes afectados.
– **Desinstalación y análisis forense:** Eliminar las extensiones comprometidas y realizar un análisis de endpoints para detectar la presencia de los IoC publicados.
– **Restricción de permisos:** Limitar la capacidad de los desarrolladores para instalar extensiones no aprobadas mediante políticas de grupo o controles de acceso.
– **Segmentación de credenciales:** Evitar el almacenamiento de credenciales sensibles en el entorno local y emplear gestores de secretos centralizados.
– **Monitorización de red:** Implementar reglas de detección sobre dominios y patrones de tráfico sospechosos asociados al incidente.
– **Actualización y formación:** Mantener actualizados los entornos de desarrollo y formar al personal en riesgos asociados a la cadena de suministro de software.

#### 6. Opinión de Expertos

Expertos en seguridad como Jake Williams (ex-NSA, consultor de incident response) advierten que «los ataques a la cadena de suministro de software no sólo van en aumento, sino que además se están sofisticando, aprovechando la confianza implícita en los repositorios oficiales». Por su parte, analistas de amenazas de Recorded Future y Mandiant subrayan la necesidad de controles de validación más estrictos en marketplaces y la importancia de la verificación de integridad en los flujos de CI/CD.

#### 7. Implicaciones para Empresas y Usuarios

El incidente recalca la vulnerabilidad del ecosistema DevOps y la importancia de adoptar un enfoque Zero Trust incluso en herramientas de desarrollo ampliamente adoptadas. Las empresas deben considerar los riesgos de la cadena de suministro de software como parte integral de sus programas de seguridad, incluyendo la revisión periódica de dependencias y la aplicación de políticas de seguridad para extensiones y plugins.

#### 8. Conclusiones

La aparición de extensiones maliciosas en el marketplace de VS Code demuestra que los repositorios oficiales no están exentos de amenazas y que los atacantes están adaptando sus tácticas para comprometer entornos cada vez más críticos. La vigilancia activa, la aplicación de restricciones y la formación continua son esenciales para mitigar este tipo de riesgos en el panorama actual de ciberamenazas.

(Fuente: feeds.feedburner.com)