Investigadores de ciberseguridad han descubierto dos nuevas extensiones en Microsoft Visual Studio Code (VS Code) Marketplace que están diseñadas para infectar las máquinas de los desarrolladores con malware ladrón.
La extensión VS Code pretende ser un asistente de codificación impulsado por un tema oscuro premium e inteligencia artificial (IA), pero en realidad oculta características secretas que le permiten descargar cargas útiles adicionales, tomar capturas de pantalla y desviar datos. La información capturada se envía a un servidor controlado por el atacante.
«Tu código, tu correo electrónico, tus DM de Slack. Lo que sea que estés viendo en tu pantalla, ellos también lo verán», dijo Idan Dardikman de Koi Security. «Y eso es sólo el comienzo. También roban contraseñas WiFi, leen portapapeles y secuestran sesiones de navegador».
Los nombres de las extensiones son los siguientes:
BigBlack.bitcoin-black (16 instalaciones): eliminado por Microsoft el 5 de diciembre de 2025 BigBlack.codo-ai (25 instalaciones): eliminado por Microsoft el 8 de diciembre de 2025
Una lista de extensiones que Microsoft ha eliminado de su mercado muestra que la compañía también eliminó un tercer paquete del mismo editor llamado «BigBlack.mrbigblacktheme» por contener malware.
“BigBlack.bitcoin-black” se activa con cada acción de VS Code, pero Codo AI incorpora su funcionalidad maliciosa dentro de las herramientas que ejecuta, lo que le permite evadir la detección.
Las extensiones en versiones anteriores incluyen la ejecución de un script de PowerShell para descargar un archivo ZIP protegido con contraseña desde un servidor externo (‘syn1112223334445556667778889990(.)org’), Expand-Archive nativo de Windows, .NET System.IO.Compression, DotNetZip y 7-Zip (si está instalado). Tenía la capacidad de extraer la carga útil principal mediante dos métodos diferentes.
Sin embargo, se dice que los atacantes enviaron sin darse cuenta una versión que podría crear una ventana visible de PowerShell y alertar a los usuarios. Sin embargo, en iteraciones posteriores, descubrí que cambiar a un script por lotes que usa el comando curl para descargar ejecutables y DLL oculta la ventana y agiliza todo el proceso.
Este ejecutable es un binario Lightshot legítimo que se utiliza para cargar una DLL maliciosa (‘Lightshot.dll’) mediante secuestro de DLL, que recopila el contenido del portapapeles, una lista de aplicaciones instaladas, procesos en ejecución, capturas de pantalla del escritorio, credenciales de Wi-Fi guardadas e información detallada del sistema. También inicia Google Chrome y Microsoft Edge en modo sin cabeza para recuperar las cookies almacenadas y secuestrar las sesiones de los usuarios.
«Cuando un desarrollador instala lo que parece ser un tema benigno o una herramienta útil de inteligencia artificial, las contraseñas de WiFi, el contenido del portapapeles y las sesiones del navegador pueden exponerse a un servidor remoto en cuestión de segundos», dijo Durdikman.
Esta divulgación se produce después de que Socket anunciara que había identificado paquetes maliciosos capaces de recopilar datos confidenciales en los ecosistemas Go, npm y Rust.
Los paquetes Go llamados «github(.)com/bpoorman/uuid» y «github(.)com/bpoorman/uid» están disponibles desde 2021 y la biblioteca UUID confiable de typosquat para extraer datos a un sitio de pegado llamado dpaste cuando la aplicación se ejecuta explícitamente. (‘github(.)com/google/uuid’ y ‘github(.)com/pborman/uuid’) Llame a la función auxiliar esperada denominada ‘válida’ con la información que se va a validar. Un conjunto de 420 paquetes npm únicos de un posible atacante de habla francesa. Sigue un patrón de nomenclatura consistente, como «elf-stats-*». Parte de él incluye código que ejecuta un shell inverso y extrae archivos al punto final de Pipedream. Una caja de Rust llamada finch-rust publicada por faceless. Se hace pasar por la herramienta bioinformática legítima ‘finch’ y actúa como un cargador de cargas maliciosas a través de un paquete de robo de credenciales conocido como ‘sha-rust’ cuando los desarrolladores utilizan la funcionalidad de serialización de bocetos de la biblioteca.
«Finch-rust actúa como un cargador de malware. Contiene la mayor parte del código legítimo copiado del paquete finch legítimo, pero una línea maliciosa que carga y ejecuta la carga útil de sha-rust», dijo el investigador de socket Kush Pandya. «Esta separación de preocupaciones hace que sea difícil de detectar. Si bien finch-rust parece inofensivo por sí solo, sha-rust contiene malware real».
Source link
