Nuevas investigaciones en entornos de desarrollo integrados (IDE) como Microsoft Visual Studio Code, Visual Studio, IntelliJ Idea, Cursor revelan debilidades en cómo se maneja el proceso de validación mejorado, lo que permite a los atacantes ejecutar código malicioso en sus máquinas desarrolladoras.
«Las verificaciones de validación defectuosa en el código de Visual Studio han descubierto que los editores pueden agregar funcionalidad a sus extensiones mientras mantienen sus íconos validados», dijeron los investigadores de seguridad de OX Nir Zadok y Moshe Siman Tov Bustan en un informe compartido con Hacker News. «Esto puede crear falsas confianza en que las extensiones maliciosas pueden parecer validadas y aprobadas».
Específicamente, el análisis reveló que Visual Studio Code envía una solicitud de publicación HTTP al dominio «Marketplace.VisualStudio (.) Com».
El método de explotación esencialmente implica crear una extensión maliciosa con el mismo valor verificable como una extensión validada como Microsoft, y sin pasar por la verificación de confianza.
Como resultado, también puede incluir un código que puede ejecutar comandos del sistema operativo, aunque aún parece tener extensiones deshonestas validadas para desarrolladores desprevenidos.
Desde el punto de vista de la seguridad, este es un caso clásico de extensiones que extienden el abuso, y los actores engañosos que distribuyen complementos fuera del mercado oficial. Sin la aplicación o verificación de editores confiables firmados con el código correcto, incluso las extensiones legales pueden ocultar scripts peligrosos.
Para los atacantes, esto abre un punto de entrada de bajo barrera para lograr la ejecución de código remoto. Este es un riesgo particularmente grave en los entornos de desarrollo donde las credenciales confidenciales y el código fuente a menudo son accesibles.
En la prueba de concepto (POC), probada por las compañías de seguridad cibernética, la extensión está configurada para abrir aplicaciones de computadora en máquinas de Windows, resaltando la capacidad de ejecutar comandos en el host subyacente.
Me pareció posible crear un archivo de paquete VSIX que haga que las extensiones maliciosas parezcan legales identificando los valores utilizados en la solicitud de verificación y modificándolos.
La seguridad de OX dijo que al cambiar los valores utilizados para la validación sin verificar, puede reproducir defectos en otros IDE, como ideas y cursores IntelliJ.
En respuesta a la divulgación responsable, Microsoft dijo que las acciones son por diseño y que los cambios evitarán que las extensiones VSIX se expongan al mercado con una verificación de firma mejorada habilitada de forma predeterminada en todas las plataformas.
Sin embargo, las compañías de ciberseguridad descubrieron que este defecto fue recientemente explotable el 29 de junio de 2025. Hacker News contactó a Microsoft para hacer comentarios.
Los resultados muestran una vez más que depender únicamente de símbolos validados de extensiones puede estar en riesgo, ya que los atacantes pueden engañar a los desarrolladores para que ejecute código malicioso sin conocimiento. Para mitigar este riesgo, recomendamos instalar la extensión directamente desde el mercado oficial, en lugar de usar extensiones VSIX que se comparten en línea.
«La capacidad de insertar código malicioso en una extensión, empaquetarlo como un archivo VSIX/zip e instalarlo mientras se mantiene los símbolos vistos en múltiples plataformas de desarrollo importantes plantea un riesgo grave», dijeron los investigadores. «Esta vulnerabilidad afecta particularmente a los desarrolladores que instalan extensiones de recursos en línea como Github».
Source link
