Un desarrollador blockchain experimentado ha perdido aproximadamente $500,000 en criptomonedas tras instalar una extensión maliciosa desde el marketplace Open VSX. Este incidente revela una nueva metodología de ataque dirigida específicamente a desarrolladores de blockchain, utilizando herramientas de desarrollo como vector de infección inicial.
Anatomía del ataque: extensión fraudulenta de Solidity
La investigación realizada por Kaspersky Lab reveló que la víctima había instalado su sistema operativo apenas días antes del incidente. A pesar de ser un profesional experimentado en el ecosistema cripto y mantener estrictas medidas de seguridad, el atacante logró comprometer el sistema mediante una extensión aparentemente legítima.
El componente central del ataque fue el archivo extension.js, integrado en una extensión falsificada de Solidity Language diseñada para el entorno de desarrollo Cursor AI. Esta extensión maliciosa había sido publicada en Open VSX aproximadamente dos meses antes del incidente y registraba 54,000 descargas al momento de su detección.
Manipulación del algoritmo de ranking
Los ciberdelincuentes aprovecharon vulnerabilidades en el algoritmo de clasificación de Open VSX, que evalúa factores como puntuación, actualización, descargas y verificación. La extensión maliciosa logró posicionarse en el cuarto lugar de los resultados de búsqueda para «solidity», mientras que la extensión legítima aparecía en octava posición.
La extensión fraudulenta carecía completamente de la funcionalidad prometida para resaltado de sintaxis Solidity. En su lugar, descargaba y ejecutaba un script PowerShell malicioso desde el servidor angelic[.]su. Los atacantes habían copiado íntegramente la descripción de la extensión legítima para aumentar la credibilidad.
Cadena de infección y persistencia
Una vez instalada la extensión comprometida, el sistema fue infectado con una versión modificada de ScreenConnect, proporcionando acceso remoto completo al dispositivo. Posteriormente, se desplegó el backdoor open-source Quasar junto con un stealer especializado en extraer credenciales de navegadores, clientes de correo y wallets de criptomonedas.
La víctima no identificó inmediatamente la amenaza, interpretando la ausencia de resaltado de sintaxis como un error común de la extensión. Esta percepción errónea otorgó a los atacantes tiempo valioso para ejecutar la fase de exfiltración de criptoactivos.
Evolución y sofisticación del ataque
Tras la eliminación del primer paquete malicioso el 2 de julio de 2025, los atacantes implementaron una estrategia más sofisticada. Publicaron una nueva extensión denominada exactamente «solidity», replicando el nombre de la extensión legítima e inflando artificialmente las descargas a 2 millones.
La táctica más insidiosa consistió en la suplantación del nombre del desarrollador: mientras la extensión legítima pertenecía a «juanblanco», la maliciosa utilizaba «juanbIanco». En la tipografía de Cursor AI, los caracteres «l» e «I» son visualmente indistinguibles, haciendo la diferenciación prácticamente imposible.
Medidas de protección y detección
Los expertos en ciberseguridad advierten que la identificación de paquetes open-source comprometidos se vuelve progresivamente más compleja. Los atacantes emplean técnicas avanzadas de ingeniería social y explotan características específicas de los algoritmos de ranking para promover contenido malicioso.
Para mitigar estos riesgos, se recomienda implementar verificación exhaustiva de la autenticidad de extensiones, examinando minuciosamente nombres de desarrolladores, fechas de publicación y métricas de descarga. Los desarrolladores que manejan criptoactivos deben adoptar soluciones de seguridad especializadas y aislar operaciones críticas del entorno de desarrollo principal.
Este incidente subraya la necesidad de mantener una postura de seguridad proactiva en el ecosistema blockchain. Incluso profesionales experimentados pueden ser víctimas de ataques sofisticados, lo que demanda vigilancia continua y la implementación de controles de seguridad multicapa al integrar cualquier componente externo en el flujo de desarrollo.
