Un nuevo estudio de entornos de desarrollo integrados (IDE) como Microsoft Visual Studio Code, Visual Studio, IntelliJ Idea y Cursor ha revelado debilidades en cómo manejan el proceso de verificación de extensión, lo que finalmente permite a los atacantes ejecutar código malicioso en máquinas desarrolladoras.
«Descubrimos que las verificaciones de verificación defectuosa en el código de Visual Studio permiten a los editores agregar funcionalidad a las extensiones mientras mantienen el ícono verificado», dijeron los investigadores de seguridad de Ox Nir Zadok y Moshe Siman Tov Bustan en un informe compartido con The Hacker News. «Esto da como resultado el potencial de que las extensiones maliciosas parezcan verificadas y aprobadas, creando un falso sentido de confianza».
Específicamente, el análisis encontró que Visual Studio Code envía una solicitud de publicación HTTP al dominio «Marketplace.VisualStudio (.) Com» para determinar si se verifica una extensión o de otra manera.
El método de explotación implica esencialmente crear una extensión maliciosa con los mismos valores verificables que una extensión ya verificada, como la de Microsoft, y evitando las verificaciones de confianza.
Como resultado, permite que las extensiones rebeldes parezcan verificadas a desarrolladores desprevenidos, al tiempo que contiene un código capaz de ejecutar comandos del sistema operativo.
Desde el punto de vista de la seguridad, este es un caso clásico de abuso de extensión lateral, donde los malos actores distribuyen complementos fuera del mercado oficial. Sin la aplicación adecuada de firma de código o verificación de editor de confianza, incluso las extensiones de aspecto legítimo pueden ocultar scripts peligrosos.
Para los atacantes, esto abre un punto de entrada de baja barrera para lograr la ejecución de código remoto, un riesgo que es especialmente grave en entornos de desarrollo donde a menudo se pueden acceder a las credenciales confidenciales y el código fuente.
En una prueba de concepto (POC) demostrada por la compañía de seguridad cibernética, la extensión se configuró para abrir la aplicación de la calculadora en una máquina de Windows, resaltando así su capacidad para ejecutar comandos en el host subyacente.
Al identificar los valores utilizados en las solicitudes de verificación y modificarlas, se descubrió que es posible crear un archivo de paquete VSIX de manera que haga que la extensión maliciosa parezca legítima.
OX Security dijo que fue capaz de reproducir el defecto en otros ides como la idea y el cursor de IntelliJ modificando los valores utilizados para la verificación sin hacer que pierdan su estado verificado.
En respuesta a divulgaciones responsables, Microsoft dijo que el comportamiento es por diseño y que los cambios evitarán que la extensión VSIX se publique al mercado debido a la verificación de firma de extensión que está habilitada de forma predeterminada en todas las plataformas.
Sin embargo, la compañía de seguridad cibernética encontró que la falla era explotable tan recientemente como el 29 de junio de 2025. Las noticias de los hackers se han comunicado con Microsoft para hacer comentarios, y actualizaremos la historia si recibimos noticias.
Los resultados muestran una vez más que depender únicamente del símbolo verificado de las extensiones puede ser arriesgado, ya que los atacantes pueden engañar a los desarrolladores para que ejecute código malicioso sin su conocimiento. Para mitigar tales riesgos, se recomienda instalar extensiones directamente desde los mercados oficiales en lugar de usar archivos de extensión VSIX compartidos en línea.
«La capacidad de inyectar código malicioso en extensiones, empaquetarlos como archivos VSIX/zip e instalarlos mientras se mantiene los símbolos verificados en múltiples plataformas de desarrollo importantes plantea un riesgo grave», dijeron los investigadores. «Esta vulnerabilidad afecta particularmente a los desarrolladores que instalan extensiones de recursos en línea como Github».