Extensiones maliciosas de VS Code explotan una brecha en el Marketplace

Los investigadores de ciberseguridad han descubierto una brecha en el Marketplace de Visual Studio Code (VS Code) de Microsoft que permite a los atacantes reutilizar nombres de extensiones eliminadas, lo que potencialmente permite que el malware infiltre los flujos de trabajo de los desarrolladores bajo la apariencia de herramientas de confianza.

Los investigadores de la firma de seguridad de la cadena de suministro ReversingLabs (RL) descubrieron el problema después de rastrear una serie de extensiones maliciosas llamadas ahbanC.shiba en junio. La extensión resultó tener la misma capacidad que las dos extensiones anteriores señaladas a principios de este año, ahban.shiba y ahban.cychelloworld, ambas ya eliminadas del Marketplace.

Eso planteó una pregunta crítica: según las reglas del Marketplace, si VS Code requiere que todos los nombres de las extensiones sean únicos, ¿cómo podría “shiba” resurgir bajo un editor diferente?

Cómo Funciona el Ataque

Al igual que sus predecesoras, la extensión ahbanC.shiba actuó como un simple descargador. La extensión registró solo un comando: shiba.aowoo, que recuperaba un script de PowerShell de un servidor remoto (54.85.145.93).

Dependiendo del sistema operativo, el script cifraba archivos en una carpeta testShiba y exigía un token de Shiba Inu (una criptomoneda construida sobre Ethereum) como rescate. Sin embargo, al igual que las versiones anteriores, no se proporcionó ninguna dirección de billetera, lo que sugiere que la campaña de ransomware aún estaba en desarrollo.

Cuando se eliminaron las extensiones ahban.shiba y ahban.cychelloworld, los investigadores asumieron que sus nombres serían retirados permanentemente. En cambio, solo unas semanas después, a finales de marzo, apareció una nueva extensión—ahbanC.shiba—en el Marketplace con el mismo código malicioso que sus predecesoras. Esto demostró alarmantemente que los nombres de las extensiones eliminadas en el Marketplace de VS Code no estaban bloqueados en absoluto, sino que podían ser reutilizados libremente.

La Brecha Oculta del Marketplace

Para entender por qué ocurrió esto, RL investigó el sistema de gestión de extensiones del Marketplace. Su investigación reveló que el problema radica en cómo VS Code maneja las eliminaciones de extensiones. Los editores del Marketplace tienen dos opciones: despublicar o eliminar.

• Extensiones despublicadas desaparecen del Marketplace pero permanecen vinculadas a su nombre y estadísticas originales. No pueden ser republicadas por nadie más. En otras palabras, nadie más puede reclamar el nombre.
• Extensiones eliminadas, sin embargo, son completamente borradas del Marketplace. Esto significa que sus nombres se vuelven disponibles nuevamente, permitiendo que cualquiera —incluidos actores maliciosos— los reclame y publique código malicioso bajo el mismo nombre.

En otras palabras, una vez que se elimina una extensión legítima, su nombre de confianza está efectivamente disponible. RL confirmó esto al publicar con éxito extensiones de prueba utilizando nombres vinculados a paquetes eliminados anteriormente, incluidos aquellos con un historial de malware, como Solidity-Ethereum.

Un Problema Más Amplio en Ecosistemas de Código Abierto

Esta no es la primera vez que se ha explotado la reutilización de nombres. A principios de 2023, RL descubrió que el Índice de Paquetes de Python (PyPI) también permitía la reutilización de nombres para paquetes eliminados. Un paquete malicioso, termcolour, reapareció años después de que se eliminara el original legítimo.

Si bien PyPI ha implementado desde entonces restricciones para prevenir la reutilización de nombres asociados con paquetes maliciosos, el Marketplace de VS Code no tiene tales protecciones en su lugar.

“La descubrimiento de esta brecha expone una nueva amenaza: que el nombre de cualquier extensión eliminada puede ser reutilizado, y por cualquiera. Eso significa que si se elimina alguna extensión legítima y muy popular, su nombre está disponible”, escribió Lucija Valenti, Investigadora de Amenazas de Software en ReversingLabs, en una publicación de blog.

Qué Pueden Hacer los Desarrolladores

Si bien Microsoft aún no ha anunciado una solución para la brecha del Marketplace, los expertos en seguridad enfatizan que los desarrolladores deben permanecer vigilantes. Recomiendan verificar cuidadosamente las extensiones antes de la instalación, incluso si los nombres parecen familiares, y verificar las cuentas de los editores en lugar de confiar solo en los nombres de las extensiones.

Además, se aconseja un monitoreo continuo de las dependencias con herramientas de seguridad que puedan detectar paquetes maliciosos. Adicionalmente, los desarrolladores pueden utilizar plataformas que ofrecen evaluaciones de riesgo gratuitas en múltiples repositorios, incluido el Marketplace de VS Code.

“La lección que se debe aprender de esta campaña es que es importante recordar que muchos peligros acechan en el Marketplace de VS Code y otros repositorios de código abierto. Es esencial que los desarrolladores y usuarios de estas plataformas sean conscientes y estén atentos a lo que se incluye en el ciclo de desarrollo”, concluyó Valenti.