Se ha descubierto que las bifurcaciones populares de Microsoft Visual Studio Code (VS Code) impulsadas por inteligencia artificial (IA), como Cursor, Windsurf, Google Antigravity y Trae, promueven extensiones que no están presentes en el registro Open VSX, lo que podría abrir la puerta al riesgo de la cadena de suministro si los delincuentes publican paquetes maliciosos con estos nombres.
El problema, dijo Coy, es que estos entornos de desarrollo integrados (IDE) heredan una lista de extensiones recomendadas oficialmente del mercado de extensiones de Microsoft. Estas extensiones no existen en Open VSX.
Las recomendaciones de extensiones de VS Code vienen en dos formatos diferentes. Uno está basado en archivos, que aparece como una notificación cuando el usuario abre un archivo en un formato particular, y el otro está basado en software, que se sugiere cuando un programa en particular ya está instalado en el host.
«El problema es que estas extensiones recomendadas no estaban presentes en Open VSX», dijo Oren Yomtov, investigador de seguridad de Koi. «No se requerían espacios de nombres. Cualquiera podía registrar un espacio de nombres y cargar lo que quisiera».
Esto significa que un atacante podría aprovechar la ausencia de estas extensiones de VS Code y el hecho de que el IDE impulsado por IA es una bifurcación de VS Code para cargar extensiones maliciosas como ms-ossdata.vscode-postgresql al registro Open VSX.
Como resultado, cada vez que un desarrollador con PostgreSQL instalado abre uno de los IDE antes mencionados y ve el mensaje «Recomendado: extensión PostgreSQL», una simple acción de instalación da como resultado que se implemente una extensión maliciosa en el sistema.
Este simple acto de confianza puede tener graves consecuencias y potencialmente conducir al robo de datos confidenciales, como credenciales, información confidencial y código fuente. Coy dijo que la extensión PostgreSQL de marcador de posición de la compañía ha atraído más de 500 instalaciones, lo que indica que los desarrolladores están descargando la extensión simplemente porque su IDE la sugirió como recomendación.
Algunos de los nombres de extensiones reclamados por Koi se enumeran a continuación con marcadores de posición.
ms-ossdata.vscode-postgresql ms-azure-devops.azure-pipelines msazurermtools.azurerm-vscode-tools usqlextpublisher.usql-vscode-extcake-build.cake-vscode pkosta2005.heroku-command
En respuesta a una divulgación responsable, Cursor, Windsurf y Google han publicado soluciones que solucionan este problema. Desde entonces, la Fundación Eclipse, que supervisa Open VSX, eliminó a los contribuyentes no oficiales y aplicó protecciones más amplias a nivel de registro.
A medida que los actores de amenazas buscan cada vez más explotar las brechas de seguridad en los mercados de extensiones y repositorios de código abierto, es importante que los desarrolladores tengan cuidado antes de descargar un paquete o aprobar su instalación, asegurándose de que proviene de un editor confiable.
Source link
