Más de 100 extensiones de VS Code expuestas ponen en riesgo la seguridad de desarrolladores

Over 100 extensiones de Visual Studio Code comprometidas: un riesgo crítico para desarrolladores

En un reciente incidente que ha puesto en alerta a la comunidad tecnológica, se ha revelado que más de 100 extensiones para el popular editor de código Visual Studio Code (VS Code) han sido comprometidas, exponiendo a millones de desarrolladores a riesgos significativos de seguridad. Este hecho subraya la importancia de la gestión de la seguridad en la cadena de herramientas de desarrollo, especialmente en entornos tan extendidos como VS Code.

Descubrimiento y método de ataque

El problema fue detectado cuando investigadores de ciberseguridad identificaron que múltiples extensiones legítimas disponibles en el marketplace oficial habían sido alteradas maliciosamente. Los atacantes lograron insertar código malicioso en las versiones actualizadas de estas extensiones, lo que permitió que el software realizara acciones no autorizadas cuando se ejecutaba en los sistemas de los usuarios.

El vector de ataque inicial se basó en la toma de control de las cuentas de los desarrolladores responsables de las extensiones, probablemente a través de técnicas como phishing o reutilización de credenciales. Una vez dentro, los actores maliciosos desplegaron versiones contaminadas que contenían scripts diseñados para recolectar información sensible o ejecutar código dañino.

Implicaciones para la seguridad del desarrollo

La explotación de extensiones comprometidas representa un ataque de cadena de suministro, donde los atacantes se infiltran en el proceso de desarrollo o distribución de software para afectar a los usuarios finales de forma directa y masiva. En este caso, la confianza depositada en las extensiones verificadas del marketplace de VS Code fue vulnerada, lo que puede desencadenar:

Robo de credenciales y Tokens de acceso almacenados en los entornos de desarrollo.
Instalación de puertas traseras que facilitan acceso persistente a los sistemas afectados.
Ejecución remota de código potencialmente destructivo.
Fugas de información crítica para el desarrollo o código fuente.

Medidas recomendadas para usuarios y desarrolladores

Para mitigar este riesgo, es imprescindible que tanto usuarios como desarrolladores implementen buenas prácticas de seguridad. Algunas recomendaciones clave incluyen:

Verificar la reputación y popularidad de las extensiones que se instalan, así como revisar los cambios en las nuevas versiones antes de realizar actualizaciones automáticas.
Utilizar autenticación multifactor para proteger las cuentas de los desarrolladores y marketplace, minimizando el riesgo de accesos no autorizados.
Emplear herramientas de análisis de seguridad que detecten comportamientos sospechosos en las extensiones o cambios inusuales en el código distribuido.
Mantener una gestión estricta de permisos otorgados a las extensiones, evitando el uso de aquellas que requieran acceso excesivo o innecesario.
Monitorizar la actividad en los entornos de desarrollo para identificar rápidamente cualquier anomalía atribuible a la ejecución de extensiones maliciosas.

El incidente resalta la importancia estratégica de la seguridad en el ciclo de vida del software y pone en evidencia cómo la confianza en un ecosistema abierto, aunque valiosa, puede ser explotada por actores malintencionados para comprometer infraestructuras críticas de desarrollo.

Conclusión

La cadena de suministro en el software es un eslabón vulnerable y atacable, como ha demostrado la reciente oleada de extensiones maliciosas para Visual Studio Code. Este evento debe servir como un llamado de atención para reforzar controles rigurosos en la distribución de herramientas de desarrollo y promover una cultura de seguridad proactiva entre desarrolladores y usuarios. Solo a través de la conciencia y la implementación de controles adecuados se podrá mantener la integridad y confianza en las plataformas esenciales para la creación de software en la era digital.

Fuente: https://thehackernews.com/2025/10/over-100-vs-code-extensions-exposed.html

← Fuga masiva: código fuente de BIG-IP de F5 expuesto en ciberataque Cómo los atacantes logran evadir las Passkeys sincronizadas y comprometer tu seguridad digital →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil