Analistas de Koi Security han documentado una campaña coordinada, atribuida al actor WhiteCobra, que compromete la cadena de suministro de extensiones para desarrolladores. Al menos 24 paquetes VSIX maliciosos fueron publicados en VS Code Marketplace y Open VSX Registry, dirigidos a usuarios de VS Code, Cursor y Windsurf. La operación muestra un patrón de “despliegue continuo”: las extensiones retiradas reaparecen rápidamente en nuevas variantes, señal de una infraestructura automatizada y resiliente.
Cadena de ataque y entrega multiplataforma con Cloudflare Pages
El módulo base (extension.js) simula el típico “Hello World” para evadir sospechas, pero incorpora una llamada encubierta a un segundo estadio (prompt.js). Desde ahí, un cargador descarga la carga útil específica por plataforma desde Cloudflare Pages, con variantes para Windows, macOS Intel y macOS ARM. El uso de alojamiento web legítimo y contenido dinámico dificulta la detección basada en firmas y mejora la persistencia de la campaña.
Windows: PowerShell → Python → shellcode → Lumma
En Windows, la cadena ejecuta Lumma stealer (LummaC2) tras un encadenamiento de PowerShell y Python que decodifica e inyecta shellcode. Los objetivos incluyen criptocarteras y extensiones de navegador, contraseñas guardadas, cookies y datos de mensajería. Esta táctica se alinea con técnicas de living-off-the-land y con MITRE ATT&CK como T1059 (intérpretes de comandos) y T1055 (inyección de procesos).
macOS: binario Mach-O y carga de módulos adicionales
En macOS, se ejecuta un binario Mach-O local que descarga módulos maliciosos posteriores. El linaje de malware no se ha atribuido en esta rama, lo que complica la detección por firma y obstaculiza la respuesta temprana.
Ingeniería social y métricas manipuladas para aparentar legitimidad
WhiteCobra impulsa extensiones con páginas pulidas, descripciones técnicas y métricas infladas de descargas y reseñas. Un caso ilustrativo: el desarrollador de Ethereum Zak Cole reportó el compromiso de su cartera tras instalar contractshark.solidity-lang para Cursor, una extensión que acumulaba cerca de 54 000 descargas en Open VSX. Según Koi Security, solo en julio de 2025 se sustrajeron mediante un plugin malicioso para Cursor AI más de $500 000 en criptoactivos.
Factores de riesgo en la cadena de suministro de extensiones
El formato VSIX es multiplataforma y compatible con varios IDE, lo que amplifica el alcance de una única carga maliciosa. Los mercados de extensiones mantienen barreras de publicación bajas y una moderación limitada, creando una superficie de ataque atractiva. Investigaciones previas (Checkmarx, Aqua Security) ya alertaban de este vector, incluyendo la manipulación de valoraciones y contadores de instalación.
Operativa de WhiteCobra: objetivos financieros y despliegue ágil
Koi Security señala que el grupo define metas de “ingresos” entre $10 000 y $500 000, proporciona guías para C2, técnicas de ingeniería social y playbooks de marketing. Tras bloqueos, los atacantes restablecen artefactos en menos de tres horas, indicio de pipelines automatizados y capacidad de iteración rápida.
Impacto y perfiles en mayor riesgo
Los más expuestos son desarrolladores y equipos que manejan criptocarteras, claves privadas, tokens de acceso y repositorios de código. El robo de sesiones y secretos deriva en compromiso de CI/CD, escalada lateral y pérdida de activos digitales. La propagación a través de IDEs facilita un alcance masivo.
Medidas de mitigación y respuesta recomendadas
Control de fuentes: instale extensiones solo de editores verificados; contraste repositorios en GitHub, historial de commits y que el código corresponda a la funcionalidad declarada. Desconfíe de picos de “popularidad” sin historial.
Políticas corporativas: adopte allowlists, deshabilite el sideloading de VSIX, fije versiones (pinning) y someta artefactos a revisión antes del despliegue.
Controles técnicos: monitorice cadenas anómalas PowerShell/Python, restrinja tráfico saliente a dominios no confiables (incluido hosting temporal), emplee EDR con detección conductual de stealers y bloquee IoC publicados por Koi Security.
Respuesta: ante sospecha, revoque tokens y rote secretos, analice estaciones de trabajo y notifique a VS Code Marketplace/Open VSX para retirar paquetes maliciosos.
La campaña WhiteCobra confirma que los mercados de extensiones para IDE son un eslabón crítico de la cadena de suministro. Fortalecer la moderación, verificar editores, instrumentar telemetría de comportamiento y mejorar la transparencia del ecosistema es esencial. Organizaciones y desarrolladores deben endurecer sus políticas y aplicar defensa en profundidad hoy mismo.
