Descubren Extensiones Maliciosas con Ransomware en el Marketplace de Visual Studio Code

CyberSecureFox 馃

Descubren Extensiones Maliciosas con Ransomware en el Marketplace de Visual Studio Code

ReversingLabs ha descubierto una grave amenaza de seguridad en el marketplace de Visual Studio Code, donde dos extensiones aparentemente inofensivas ocultaban c贸digo malicioso tipo ransomware. Las extensiones identificadas como ahban.shiba y ahban.cychelloworld permanecieron activas durante varios meses, exponiendo potencialmente a los desarrolladores a riesgos de seguridad significativos.

An谩lisis T茅cnico del Malware

La investigaci贸n revel贸 que ambas extensiones utilizaban scripts de PowerShell para descargar y ejecutar c贸digo malicioso desde servidores remotos alojados en Amazon AWS. El an谩lisis t茅cnico indica que el ransomware se encontraba en fase de pruebas, limitando su alcance al cifrado de archivos dentro de una carpeta espec铆fica: C:\users\%username%\Desktop\testShiba.

Evoluci贸n y Distribuci贸n del Ataque

La primera extensi贸n, ahban.cychelloworld, fue publicada el 27 de octubre de 2024, mientras que ahban.shiba apareci贸 el 17 de febrero de 2025. Seg煤n la investigadora Itali Kruk de ExtensionTotal, el c贸digo malicioso se introdujo mediante una actualizaci贸n (versi贸n 0.0.2) el 24 de noviembre de 2024, seguida por cinco actualizaciones adicionales que mantuvieron y refinaron el componente malicioso.

Caracter铆sticas del Ransomware

El comportamiento del malware se caracteriza por su simplicidad: tras completar el proceso de cifrado, muestra un mensaje b谩sico solicitando 芦1 ShibaCoin en ShibaWallet禄 como rescate. La ausencia de instrucciones detalladas y la limitada funcionalidad sugieren que se trataba de un proyecto experimental, posiblemente en desarrollo.

Implicaciones para la Seguridad del Marketplace

Este incidente ha expuesto vulnerabilidades cr铆ticas en los protocolos de seguridad del Microsoft VSCode Marketplace. A pesar de que los sistemas automatizados detectaron la amenaza, la respuesta fue significativamente lenta. El bajo n煤mero de descargas (entre 7 y 8 instalaciones) posiblemente contribuy贸 a la falta de urgencia en la respuesta de Microsoft.

Este caso destaca la necesidad cr铆tica de implementar controles de seguridad m谩s rigurosos en los marketplaces de extensiones, especialmente en plataformas ampliamente utilizadas como Visual Studio Code. Se recomienda a los desarrolladores verificar cuidadosamente la reputaci贸n y procedencia de las extensiones antes de instalarlas, mantener sus herramientas de desarrollo actualizadas y utilizar soluciones de seguridad endpoint para proteger sus entornos de desarrollo. La comunidad de desarrollo debe mantenerse vigilante y reportar inmediatamente cualquier comportamiento sospechoso en las extensiones, independientemente de su popularidad.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.