Investigaciones recientes han puesto en evidencia una serie de deficiencias en la seguridad del VSCode Marketplace, el mercado de extensiones gestionado por Microsoft, ya que se descubrió un gran número de aplicaciones maliciosas que representan una amenaza para los desarrolladores y usuarios.
Todo esto empezó como un experimento que buscaba revelar posibles vulnerabilidades en el marketplace. Utilizando una técnica conocida como “typosquatting”, crearon una versión troyanizada del popular tema ‘Dracula Official’, renombrándola como ‘Darcula’. Este tema es ampliamente utilizado debido a su modo oscuro y su paleta de colores de alto contraste, con más de 7 millones de instalaciones en esta tienda digital
La extensión falsa Darcula contenía, además del código legítimo del tema original, un script oculto que recopilaba información del sistema. Este script robaba datos como el nombre del host, el número de extensiones instaladas, el nombre de dominio del dispositivo y la plataforma del sistema operativo, enviándolos a un servidor remoto.
Lo más preocupante de este hallazgo es que la extensión maliciosa no fue detectada por las herramientas de seguridad de la tienda digital. Debido a la naturaleza permisiva de VSCode, diseñado para leer numerosos archivos y ejecutar comandos, los filtros de seguridad no pudieron identificar la actividad maliciosa.
Como resultado, la extensión falsa se instaló en más de 100 organizaciones, incluyendo una empresa pública con una capitalización de mercado de 483 mil millones de dólares, varias compañías de seguridad y una red de cortes de justicia nacional.
Los investigadores optaron por no revelar los nombres de las empresas afectadas, pero la magnitud del experimento puso en evidencia la vulnerabilidad del VSCode Marketplace y cómo se está generando un patrón en la tienda digital que pone en riesgo a sus usuarios.
La investigación no se detuvo y las vulnerabilidades tampoco
Después del éxito inicial del experimento, los investigadores llevaron a cabo un análisis más profundo de la seguridad del VSCode Marketplace utilizando una herramienta personalizada llamada ExtensionTotal. Esta herramienta les permitió identificar extensiones de alto riesgo, descomprimirlas y analizar fragmentos de código sospechosos. Los resultados fueron los siguientes:
- 1.283 extensiones contenían código malicioso conocido, acumulando 229 millones de instalaciones.
- 8.161 extensiones se comunicaban con direcciones IP codificadas.
- 1.452 extensiones ejecutaban archivos desconocidos.
- 2.304 extensiones utilizaban repositorios de GitHub de otros editores, lo que indicaba que eran imitaciones.
Un ejemplo notable encontrado por los investigadores fue una extensión de embellecimiento de código (CWL Beautifier) que permitía a los cibercriminales acceder de forma remota al sistema comprometido.
Estos hallazgos ponen en evidencia serias deficiencias en la seguridad del VSCode Marketplace. La falta de controles estrictos y mecanismos de revisión de código permite a los actores maliciosos abusar de la plataforma para llegar a sus víctimas con facilidad.
Los investigadores advirtieron que las extensiones de VSCode representan un vector de ataque expuesto y abusado, con alta visibilidad y riesgo significativo.
Esta no es la primera vez que Microsoft es cuestionada por este tema. La empresa ya había sido señalada por diversos problemas de seguridad en VSCode, incluyendo vulnerabilidades que permitían a ciberdelincuentes hacerse pasar por extensiones legítimas para robar tokens de autenticación de los desarrolladores.
Para abordar estos problemas, los investigadores planifican publicar su herramienta ‘ExtensionTotal’, liberándola como una herramienta gratuita para ayudar a los desarrolladores a escanear sus entornos en busca de posibles amenazas. Esta herramienta permitirá identificar extensiones de alto riesgo y potencialmente maliciosas en VSCode.
Además, todos los hallazgos de extensiones maliciosas fueron reportados a Microsoft para su eliminación. Sin embargo, en el momento de la publicación del informe, la mayoría de estas extensiones aún estaban disponibles para su descarga, por lo que los usuarios y organizaciones siguen expuestos a este tipo de extensiones que esconden malware en sus funciones.