Una nueva investigación ha descubierto que los editores de más de 100 extensiones de Visual Studio Code (VS Code) filtraron tokens de acceso que podrían ser aprovechados por malos actores para actualizar las extensiones, lo que representa un riesgo crítico para la cadena de suministro de software.
«Un VSCode Marketplace u Open VSX PAT (token de acceso personal) filtrado permite a un atacante distribuir directamente una actualización de extensión maliciosa en toda la base de instalación», dijo el investigador de seguridad de Wiz, Rami McCarthy, en un informe compartido con The Hacker News. «Un atacante que descubriera este problema habría podido distribuir malware directamente a la base de instalación acumulada de 150.000».
La firma de seguridad en la nube señaló que en muchos casos los editores no tuvieron en cuenta el hecho de que las extensiones de VS Code, aunque se distribuyen como archivos .vsix, se pueden descomprimir e inspeccionar, exponiendo secretos codificados incrustados en ellas.
En total, Wiz dijo que encontró más de 550 secretos validados, distribuidos en más de 500 extensiones de cientos de editores distintos. Se ha descubierto que los 550 secretos se dividen en 67 tipos distintos de secretos, que incluyen:
- Secretos de proveedores de IA, como los relacionados con OpenAI, Gemini, Anthropic, XAI, DeepSeek, Hugging Face y Perplexity.
- Secretos de proveedores de servicios en la nube, como los relacionados con Amazon Web Services (AWS), Google Cloud, GitHub, Stripe y Auth0.
- Secretos de bases de datos, como los relacionados con MongoDB, PostgreSQL y Supabase
Wiz también señaló en su informe que más de 100 extensiones filtraron PAT de VS Code Marketplace, que representaron más de 85.000 instalaciones. Se han encontrado otras 30 extensiones con una base de instalación acumulada de no menos de 100.000 para Open VSX Access Tokens. Una parte importante de las extensiones marcadas son temas.
Con Open VSX también integrado en bifurcaciones de VS Code impulsadas por inteligencia artificial (IA), como Cursor y Windsurf, las extensiones que filtran tokens de acceso pueden expandir significativamente la superficie de ataque.
En un caso, la compañía dijo que identificó una PAT de VS Code Marketplace que podría haber permitido enviar malware dirigido a la fuerza laboral de una megacorporación china con capitalización de mercado de $ 30 mil millones, lo que indica que el problema también se extiende a extensiones internas o específicas de proveedores utilizadas por las organizaciones.
Tras la divulgación responsable a Microsoft a finales de marzo y abril de 2025, el fabricante de Windows revocó las PAT filtradas y anunció que agregará capacidades de escaneo de secretos para bloquear extensiones con secretos verificados y notificar a los desarrolladores cuando se detecten secretos.
Se recomienda a los usuarios de VS Code que limiten la cantidad de extensiones instaladas, las examinen antes de descargarlas y sopesen los pros y los contras de habilitar las actualizaciones automáticas. Se recomienda a las organizaciones que desarrollen un inventario de extensiones para responder mejor a los informes de extensiones maliciosas y considerar una lista centralizada de extensiones permitidas.
«El problema pone de relieve los riesgos continuos de las extensiones y complementos, y la seguridad de la cadena de suministro en general», dijo Wiz. «Esto continúa validando la impresión de que cualquier depósito de paquetes conlleva un alto riesgo de filtración masiva de secretos».
TigerJack apunta a VS Code Marketplace con extensiones maliciosas
El desarrollo se produce cuando Koi Security reveló detalles de un actor de amenazas con nombre en código TigerJack al que se le atribuye la publicación de al menos 11 extensiones VS Code maliciosas de apariencia legítima utilizando varias cuentas de editor desde principios de 2025 como parte de una campaña «coordinada y sistemática».
«Operando bajo las identidades ab-498, 498 y 498-00, Tiger-Jack ha desplegado un sofisticado arsenal: extensiones que roban el código fuente, extraen criptomonedas y establecen puertas traseras remotas para un control completo del sistema», dijo el investigador de seguridad Tuval Admoni.
Dos de las extensiones maliciosas (C++ Playground y HTTP Format) atrajeron más de 17.000 descargas antes de su eliminación. Sin embargo, continúan estando disponibles en Open VSX, y el actor de amenazas también volvió a publicar el mismo código malicioso el 17 de septiembre de 2025, con nuevos nombres en VS Code Marketplace después de su eliminación.
Lo notable de estas extensiones es que ofrecen la funcionalidad prometida, lo que proporciona la cobertura perfecta para que sus actividades maliciosas pasen desapercibidas para los desarrolladores desprevenidos que puedan haberlas instalado.
Específicamente, se ha descubierto que la extensión C++ Playground captura pulsaciones de teclas casi en tiempo real a través de un oyente que se activa después de un retraso de 500 milisegundos. El objetivo final es robar archivos de código fuente C++. Por otro lado, la extensión de formato HTTP alberga un código nefasto para ejecutar el minero CoinIMP y extraer criptomonedas de forma sigilosa abusando de los recursos del sistema.
Otras tres extensiones publicadas por TigerJack bajo el alias «498», a saber, cppplayground, httpformat y pythonformat, aumentan aún más el riesgo al incorporar la capacidad de actuar como puerta trasera descargando y ejecutando JavaScript arbitrario desde un servidor externo («ab498.pythonanywhere(.)com») cada 20 minutos.
«Al buscar nuevas instrucciones cada 20 minutos y usar eval() en el código obtenido de forma remota, TigerJack puede impulsar dinámicamente cualquier carga útil maliciosa sin actualizar la extensión: robar credenciales y claves API, implementar ransomware, usar máquinas de desarrollo comprometidas como puntos de entrada a las redes corporativas, inyectar puertas traseras en sus proyectos o monitorear su actividad en tiempo real», señaló Admoni.
Koi Security también señaló que la mayoría de estas extensiones comenzaron como herramientas completamente benignas antes de que se introdujeran las modificaciones maliciosas, un caso clásico de enfoque de caballo de Troya. Esto ofrece varias ventajas, ya que permite al actor de amenazas establecer legitimidad y ganar tracción entre los usuarios.
Es más, también puede engañar a un desarrollador que haya examinado la extensión antes de la instalación, ya que el actor de la amenaza podría impulsar una actualización más adelante para comprometer su entorno.
En junio de 2025, Microsoft dijo que cuenta con un proceso de varios pasos para mantener el mercado de VS Code libre de malware. Esto incluye un escaneo inicial de todos los paquetes entrantes en busca de comportamiento malicioso en tiempo de ejecución en un entorno sandbox, así como un nuevo escaneo y escaneos periódicos en todo el mercado para «asegurarse de que todo permanezca seguro».
Dicho esto, estas protecciones de seguridad solo se aplican a VS Code Marketplace, y no a otros como el registro Open VSX, lo que significa que incluso si la extensión maliciosa se elimina de la plataforma de Microsoft, los actores de amenazas pueden migrar fácilmente a alternativas menos seguras.
«El panorama de seguridad fragmentado en todos los mercados crea puntos ciegos peligrosos que los actores de amenazas sofisticados ya están explotando», dijo la compañía. «Cuando la seguridad opera en silos, las amenazas simplemente migran entre plataformas mientras los desarrolladores permanecen expuestos sin saberlo».