Meta News

Investigadores descubren 73 extensiones falsas de VS Code que llevan malware

Resumen: Investigadores de ciberseguridad descubrieron un grupo de 73 extensiones de VS Code falsas, en el repositorio Open VSX, vinculadas a la campaña de malware GlassWorm v2.

Detectan 73 extensiones falsas de VS Code que distribuyen malware y roban datos de desarrolladores

Por MSB

Una nueva investigación en ciberseguridad ha encendido las alarmas en la comunidad de desarrolladores: al menos 73 extensiones falsas de Visual Studio Code han sido identificadas como parte de una campaña activa de malware que apunta directamente a entornos de desarrollo.

El hallazgo, publicado por investigadores y difundido por The Hacker News, revela una operación sofisticada que utiliza repositorios de extensiones para infiltrar código malicioso en las herramientas que millones de programadores utilizan a diario.

Un ataque silencioso en el corazón del desarrollo

Las extensiones detectadas son clones de herramientas legítimas: copian nombres, iconos y descripciones para engañar a los usuarios y generar confianza.

De las 73 identificadas, al menos seis contienen código malicioso activo, mientras que el resto actúa como “paquetes durmientes” (sleeper packages), diseñados para parecer inofensivos hasta que reciben una actualización maliciosa posterior.

Este enfoque permite a los atacantes construir credibilidad antes de ejecutar el ataque, evitando sospechas iniciales.

GlassWorm v2: malware diseñado para expandirse

La campaña ha sido vinculada a una operación conocida como GlassWorm v2, una evolución de ataques anteriores que ya habían comprometido cientos de paquetes desde finales de 2025.

El mecanismo es especialmente preocupante:

  • Las extensiones actúan como cargadores iniciales
  • Descargan una segunda extensión maliciosa desde repositorios externos
  • Instalan el malware en múltiples entornos de desarrollo (VS Code, Cursor, VSCodium, entre otros)

Esto convierte un solo punto de entrada en una infección transversal en toda la máquina del desarrollador.

Robo de credenciales y control remoto

El objetivo final del ataque es claro: obtener acceso persistente y datos sensibles.

Según los investigadores, el malware puede:

  • Robar credenciales, tokens y datos del sistema
  • Instalar un troyano de acceso remoto (RAT)
  • Desplegar extensiones maliciosas en navegadores para extraer información adicional

Además, el código está diseñado para evadir detección y evitar ejecutarse en ciertos países, lo que indica un nivel avanzado de planificación.

El nuevo objetivo: los desarrolladores

Este tipo de campañas confirma una tendencia creciente en ciberseguridad: los atacantes están desplazando su foco hacia los desarrolladores y sus herramientas.

Los entornos de desarrollo contienen activos críticos —como claves SSH, tokens de acceso y código fuente—, lo que los convierte en objetivos de alto valor.

En lugar de atacar directamente aplicaciones finales, los ciberdelincuentes buscan comprometer la cadena de suministro desde su origen.

Un problema estructural

El incidente expone debilidades en los ecosistemas de extensiones:

  • Falta de controles estrictos en marketplaces
  • Capacidad de ejecutar código con amplios privilegios
  • Actualizaciones automáticas que pueden introducir malware sin intervención del usuario

Estas características, diseñadas para facilitar el desarrollo, también amplían la superficie de ataque.

Conclusión

El descubrimiento de estas 73 extensiones falsas no es un incidente aislado, sino una señal de cambio en el panorama de amenazas.

La seguridad ya no depende únicamente del código que escriben los desarrolladores, sino también del código que instalan sin cuestionar.

En un entorno donde una simple extensión puede comprometer todo un sistema, la confianza se ha convertido en el vector de ataque más explotado.

Datos clave

  • Se identificaron 73 extensiones falsas de VS Code en el repositorio Open VSX.
  • Seis de estas extensiones han sido confirmadas como maliciosas.
  • Las extensiones utilizadas en la campaña son versiones clonadas de paquetes legítimos.
  • El malware se manifiesta a través de paquetes latentes (sleeper packages) y actualizaciones subsecuentes.

¿Por qué importa?

Este incidente subraya el grave riesgo que enfrentan los desarrolladores al utilizar extensiones de terceros. Los atacantes están explotando la confianza inherente en herramientas de desarrollo populares, lo que requiere que las empresas fortalezcan sus defensas de la cadena de suministro de software.

X profile@thehackersnewshttps://twitter.com/thehackersnews
Contenido embebido de: Investigadores descubren 73 extensiones falsas de VS Code que llevan malware
Etiquetas:
cybersecurity software VS Code malware supply chain

Detalles estructurados

  • Industria: cybersecurity
  • Tipo de fuente: media
  • Estado de la afirmación: confirmed
  • Verificación: claimed_by_source
  • Entidades: Open VSX, Microsoft Visual Studio Code, GlassWorm

Fuente: https://thehackernews.com/2026/04/researchers-uncover-73-fake-vs-code.html

Publicado el