AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Campaña masiva explota Open VSX para propagar malware autorreplicante en extensiones de VS Code

admin

#### 1. Introducción

Una campaña de amenazas en rápida escalada ha puesto en jaque la seguridad del ecosistema de desarrollo, al aprovechar el repositorio Open VSX para introducir extensiones maliciosas de Visual Studio Code (VS Code). Los atacantes están sembrando extensiones aparentemente inocuas que, en realidad, contienen malware autorreplicante, capaz de propagarse de manera autónoma y comprometer entornos de desarrollo y despliegue. Este incidente evidencia la creciente sofisticación de las amenazas dirigidas al software supply chain, y subraya la urgente necesidad de reforzar los controles en los mercados de extensiones y plugins ampliamente utilizados por desarrolladores y organizaciones.

#### 2. Contexto del Incidente o Vulnerabilidad

Open VSX es un repositorio abierto y comunitario para extensiones compatibles con VS Code, empleado ampliamente en entornos empresariales y por múltiples IDEs basados en el framework de código abierto Theia. A diferencia del marketplace oficial de Microsoft, Open VSX carece de algunos controles de seguridad y procesos de revisión, lo que lo convierte en un objetivo atractivo para actores maliciosos.

Desde finales del primer trimestre de 2024, varios analistas de amenazas han detectado una campaña activa en la que decenas de extensiones aparentemente legítimas, publicadas en Open VSX, contenían código malicioso oculto. Estas extensiones, que ofrecían funcionalidades populares como temas, snippets o integración con herramientas de desarrollo, han sido descargadas por miles de usuarios antes de que la campaña fuese identificada y comenzaran los procesos de remoción.

#### 3. Detalles Técnicos

Los paquetes maliciosos identificados aprovechan técnicas de ofuscación de código y mecanismos de persistencia. En muchos casos, el payload se descarga de servidores remotos tras la instalación, dificultando su detección mediante análisis estático inicial. El malware utiliza técnicas de living-off-the-land, ejecutando scripts en PowerShell, Bash o Node.js según el sistema operativo de la víctima.

**CVE y vectores de ataque:**
Por el momento, no se ha asignado un CVE específico a la campaña, ya que el vector de ataque reside en la distribución de extensiones comprometidas a través de un repositorio legítimo, más que en una vulnerabilidad del propio VS Code u Open VSX. Sin embargo, la técnica se alinea con los vectores de ataque T1195 (Supply Chain Compromise) y T1059 (Command and Scripting Interpreter) del framework MITRE ATT&CK.

**TTP (Tácticas, Técnicas y Procedimientos):**
– Publicación de extensiones con código ofuscado o payloads encriptados.
– Uso de servidores C2 para el despliegue de segunda fase de malware.
– Ejecución automática de scripts tras la instalación/extensión.
– Autorreplicación: el malware modifica el entorno de desarrollo para inyectarse en nuevos proyectos y compartir copias de sí mismo.

**Indicadores de compromiso (IoC):**
– Conexiones salientes a dominios o IPs desconocidas tras la instalación.
– Archivos temporales o scripts no documentados en los directorios de extensiones.
– Cambios no autorizados en los archivos de configuración de VS Code, como `settings.json` o `launch.json`.

#### 4. Impacto y Riesgos

El impacto potencial de esta campaña es elevado, especialmente en entornos empresariales y de DevOps. Dado que muchas organizaciones integran extensiones de terceros en sus pipelines CI/CD, existe el riesgo de escalado de privilegios, robo de credenciales, exfiltración de código fuente y sabotaje de procesos de despliegue.

Según primeras estimaciones, más de 10.000 descargas de extensiones comprometidas han sido registradas en las primeras semanas. Diversas variantes del malware detectado incluyen capacidades de keylogging, robo de tokens de autenticación (incluyendo OAuth y SSH), y descarga de cargas adicionales como Cobalt Strike, Metasploit y troyanos de acceso remoto (RATs). La propagación autorreplicante podría facilitar movimientos laterales y persistencia a largo plazo.

En el contexto normativo, la exposición de datos personales o propiedad intelectual puede acarrear sanciones bajo el RGPD (GDPR) y la directiva NIS2, especialmente si la organización afectada no implementa controles adecuados de seguridad en la cadena de suministro.

#### 5. Medidas de Mitigación y Recomendaciones

– **Restricción de fuentes:** Limitar la instalación de extensiones a repositorios validados o internos, evitando el uso de Open VSX salvo que sea imprescindible.
– **Auditoría de extensiones:** Realizar análisis estáticos y dinámicos de código en extensiones antes de su despliegue, preferiblemente en entornos sandbox.
– **Monitorización de integridad:** Implementar herramientas de EDR y SIEM capaces de detectar cambios inusuales en los directorios de configuración de VS Code.
– **Actualización y formación:** Sensibilizar a los desarrolladores sobre los riesgos asociados a plugins de terceros y mantener actualizadas todas las dependencias.
– **Revisión de logs e IoC:** Buscar patrones de actividad sospechosa y aplicar listas de IoCs publicadas por los investigadores.

#### 6. Opinión de Expertos

Varios analistas de ciberseguridad han advertido que este tipo de ataques marcan un cambio de paradigma: “La cadena de suministro de software ya no es sólo una preocupación para los equipos de seguridad, sino para todos los desarrolladores”, afirma Marta Ruiz, CISO de una multinacional tecnológica. “La confianza ciega en repositorios comunitarios es un riesgo crítico que debe ser reevaluado”.

Por su parte, el equipo de respuesta a incidentes de SANS aconseja “establecer políticas estrictas de gestión de extensiones y mantener un ciclo de revisión continua, especialmente en ámbitos críticos como CI/CD y DevSecOps”.

#### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que el ecosistema de extensiones y plugins puede convertirse en un vector de ataque masivo. El incidente pone de manifiesto la necesidad de controles de acceso, procesos de revisión y la implementación de Zero Trust en la cadena de herramientas de desarrollo. Los usuarios individuales, por su parte, deben extremar la precaución y evitar instalar extensiones de fuentes no verificadas.

#### 8. Conclusiones

La campaña contra Open VSX subraya la vulnerabilidad inherente a los repositorios abiertos y la importancia de adoptar políticas estrictas de seguridad en la cadena de suministro de software. La colaboración entre la comunidad de desarrolladores, los proveedores de IDEs y los equipos de ciberseguridad será crucial para contener y prevenir futuras amenazas de este tipo.

(Fuente: www.darkreading.com)