ReversingLabs ha descubierto una grave amenaza de seguridad en el marketplace de Visual Studio Code, donde dos extensiones aparentemente inofensivas ocultaban código malicioso tipo ransomware. Las extensiones identificadas como ahban.shiba y ahban.cychelloworld permanecieron activas durante varios meses, exponiendo potencialmente a los desarrolladores a riesgos de seguridad significativos.
Análisis Técnico del Malware
La investigación reveló que ambas extensiones utilizaban scripts de PowerShell para descargar y ejecutar código malicioso desde servidores remotos alojados en Amazon AWS. El análisis técnico indica que el ransomware se encontraba en fase de pruebas, limitando su alcance al cifrado de archivos dentro de una carpeta específica: C:\users\%username%\Desktop\testShiba.
Evolución y Distribución del Ataque
La primera extensión, ahban.cychelloworld, fue publicada el 27 de octubre de 2024, mientras que ahban.shiba apareció el 17 de febrero de 2025. Según la investigadora Itali Kruk de ExtensionTotal, el código malicioso se introdujo mediante una actualización (versión 0.0.2) el 24 de noviembre de 2024, seguida por cinco actualizaciones adicionales que mantuvieron y refinaron el componente malicioso.
Características del Ransomware
El comportamiento del malware se caracteriza por su simplicidad: tras completar el proceso de cifrado, muestra un mensaje básico solicitando «1 ShibaCoin en ShibaWallet» como rescate. La ausencia de instrucciones detalladas y la limitada funcionalidad sugieren que se trataba de un proyecto experimental, posiblemente en desarrollo.
Implicaciones para la Seguridad del Marketplace
Este incidente ha expuesto vulnerabilidades críticas en los protocolos de seguridad del Microsoft VSCode Marketplace. A pesar de que los sistemas automatizados detectaron la amenaza, la respuesta fue significativamente lenta. El bajo número de descargas (entre 7 y 8 instalaciones) posiblemente contribuyó a la falta de urgencia en la respuesta de Microsoft.
Este caso destaca la necesidad crítica de implementar controles de seguridad más rigurosos en los marketplaces de extensiones, especialmente en plataformas ampliamente utilizadas como Visual Studio Code. Se recomienda a los desarrolladores verificar cuidadosamente la reputación y procedencia de las extensiones antes de instalarlas, mantener sus herramientas de desarrollo actualizadas y utilizar soluciones de seguridad endpoint para proteger sus entornos de desarrollo. La comunidad de desarrollo debe mantenerse vigilante y reportar inmediatamente cualquier comportamiento sospechoso en las extensiones, independientemente de su popularidad.