Una investigación realizada por el experto en ciberseguridad Yuval Ronen de ExtensionTotal ha revelado una sofisticada campaña maliciosa en el marketplace oficial de Visual Studio Code. Se identificaron nueve extensiones maliciosas que, bajo la apariencia de herramientas legítimas de desarrollo, distribuían el minero de criptomonedas XMRig para extraer Monero de forma encubierta en los sistemas infectados.
Propagación Masiva y Técnicas de Engaño
Las extensiones maliciosas, publicadas el 4 de abril de 2025, alcanzaron más de 300.000 descargas en cuestión de días. Los análisis sugieren que estas cifras fueron artificialmente infladas para generar una falsa sensación de legitimidad y confianza entre los usuarios potenciales.
Análisis Técnico del Vector de Ataque
El proceso de infección se inicia cuando el usuario instala una de las extensiones comprometidas. El malware ejecuta un elaborado proceso de dos fases: descarga un script PowerShell desde un servidor remoto (https://asdf11[.]xyz/) mientras simultáneamente instala una extensión legítima para ocultar su actividad maliciosa.
Mecanismos de Persistencia
El malware implementa múltiples técnicas de persistencia, incluyendo la creación de tareas programadas bajo el nombre «OnedriveStartup» y modificaciones al registro de Windows. Además, desactiva servicios críticos de seguridad como Windows Update y Update Medic, y configura exclusiones en Windows Defender.
Escalada de Privilegios y Ejecución
En casos donde no dispone de privilegios administrativos, el malware emplea técnicas de DLL hijacking, específicamente mediante la suplantación de MLANG.dll y el proceso ComputerDefaults.exe, para obtener elevación de privilegios. Posteriormente, establece conexión con el servidor C&C myaunet[.]su para descargar y activar el minero XMRig.
Se recomienda a los usuarios de Visual Studio Code realizar una revisión inmediata de sus extensiones instaladas. Si se detecta alguna de las extensiones comprometidas, es crucial proceder a su eliminación inmediata y realizar una limpieza exhaustiva del sistema, incluyendo la eliminación de tareas programadas, modificaciones del registro y archivos maliciosos. Como medida preventiva, es fundamental limitar la instalación de extensiones a aquellas publicadas por desarrolladores verificados y mantener un monitoreo activo de las extensiones instaladas. La implementación de soluciones de seguridad robustas y la actualización regular de los sistemas de protección son esenciales para prevenir futuras infecciones.
