lunes, 8 de diciembre de 2025
|
Publicado por
el-brujo
|
Editar entrada
Están comprometiendo a desarrolladores con extensiones maliciosas de VS Code y Cursor AI.
Las herramientas de desarrollo utilizadas por millones de programadores en todo el mundo se han convertido en un objetivo principal para los atacantes que buscan comprometer a organizaciones enteras. Visual Studio Code y los IDE impulsados por IA como Cursor AI, combinados con sus mercados de extensiones, presentan una vulnerabilidad crítica en la cadena de suministro de software.
Las herramientas de desarrollo utilizadas por millones de programadores en todo el mundo se han convertido en un objetivo principal para los atacantes que buscan comprometer a organizaciones enteras.
Visual Studio Code y los IDE impulsados por IA como Cursor AI, combinados con sus mercados de extensiones, presentan una vulnerabilidad crítica en la cadena de suministro de software.
A diferencia de los usuarios habituales, los desarrolladores tienen acceso a credenciales confidenciales, repositorios de código fuente y sistemas de producción, lo que los convierte en objetivos valiosos para actores de amenazas sofisticados.
Ha surgido una nueva preocupación de seguridad que demuestra que publicar extensiones maliciosas en estos mercados es alarmantemente sencillo.
El vector de ataque explota la confianza que los desarrolladores depositan en sus entornos de desarrollo diarios, eludiendo múltiples capas de protección que fueron diseñadas para mantener estas plataformas seguras.
Al disfrazar código dañino como herramientas legítimas, los atacantes pueden obtener acceso persistente a las máquinas de los desarrolladores sin activar las alarmas de seguridad típicas.
Un ingeniero de ciberseguridad, Mazin Ahmed, identificó y documentó cómo los atacantes publican con éxito puertas traseras a través de estos mercados de extensiones.
VS Code (Source – Mazin Ahmed)
La investigación de Ahmed demostró que una extensión de linter de Python maliciosa llamada Piithon-linter, deliberadamente mal escrita para evitar la detección inmediata, superó la revisión de seguridad de Microsoft y se puso a disposición en el Mercado de VS Code.
Extracción de variables de entorno
Esta capacidad permitió a los atacantes extraer variables de entorno que contienen credenciales confidenciales y desplegar herramientas de acceso remoto al instalarse.
El aspecto más preocupante de este ataque es cómo el malware mantiene la persistencia y evade los sistemas de detección.
Cuando VS Code se inicia, la extensión maliciosa se ejecuta automáticamente sin requerir la interacción del usuario, gracias a los eventos de activación especificados en la configuración de la extensión.
El código de la extensión primero busca soluciones antivirus o de detección de puntos finales en ejecución. Si se descubre software de seguridad, el malware detiene la ejecución.
Sin embargo, si el sistema parece seguro, la extensión procede a extraer variables de entorno y desplegar un agente de control y mando Merlin que proporciona a los atacantes un acceso remoto completo.
La extensión incluso puede determinar el sistema operativo en tiempo de ejecución, lo que le permite ejecutar la carga útil adecuada para los sistemas Windows, macOS o Linux. La investigación expuso lagunas fundamentales en la revisión de seguridad.
Microsoft Sandbox IP (Source – Mazin Ahmed)
El análisis de sandbox de Microsoft, que supuestamente prueba las extensiones en un entorno controlado, se eludió mediante técnicas de geovalla que detectaron cuando el código se ejecutaba en la infraestructura de prueba de Microsoft en Estados Unidos.
OpenVSX, el mercado que alimenta a Cursor AI y otros IDE impulsados por IA, prácticamente no realiza ninguna verificación de seguridad, confiando únicamente en los informes de los usuarios y los términos del acuerdo.
Estos descubrimientos resaltan una realidad preocupante: el próximo gran compromiso de la cadena de suministro puede originarse en los editores y desarrolladores en los que confías y usas a diario.
Sin controles de seguridad mejorados y mecanismos de verificación, estas vitales herramientas de desarrollo siguen peligrosamente expuestas a ataques coordinados.
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.
Windows 11 en menos de 3GB superando a Tiny11
Entradas populares
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
Además de las temidas cookies y de que la dirección IP figura en las peticiones que se hacen de páginas web, el navegador revela sin que l...
Investigadores hackean la CLI de Gemini de Google a través de inyecciones de prompts en GitHub Actions Una clase crítica de vulnerabilidad,...
Extensiones maliciosas de VS Code y Cursor AI.
.webp)
.webp)
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.