Las extensiones de Visual Studio Code (VSCode) son herramientas clave para millones de desarrolladores, pero recientemente se descubrió que dos de ellas estaban diseñadas para implementar ransomware en sistemas afectados. Estas extensiones maliciosas, llamadas "ahban.shiba" y "ahban.cychelloworld", lograron infiltrarse en el marketplace oficial de VSCode, evidenciando importantes brechas en el proceso de revisión de Microsoft.
Ambas extensiones permanecieron en la tienda durante un tiempo considerable: "ahban.cychelloworld" fue publicada el 27 de octubre de 2024, mientras que "ahban.shiba" apareció el 17 de febrero de 2025. Durante ese periodo, lograron ser descargadas siete y ocho veces, respectivamente, antes de ser finalmente eliminadas.
Este incidente revela que incluso herramientas ampliamente reconocidas como VSCode no están exentas de amenazas de seguridad. Si eres desarrollador, comprender cómo funcionan estos ataques y qué precauciones tomar es esencial para proteger tu entorno de trabajo.
Extensiones maliciosas en VSCode: Cómo funcionaba el ataque
El marketplace de VSCode es el lugar donde los desarrolladores pueden encontrar, instalar y compartir extensiones para Visual Studio Code. Es una plataforma muy popular entre programadores, desarrolladores web e incluso científicos de datos.
Recientemente, se descubrió que dos extensiones maliciosas incluían un comando de PowerShell diseñado para descargar y ejecutar otro script desde un servidor en Amazon AWS. Ese segundo script resultó ser ransomware, lo que representa una seria amenaza para los usuarios que instalaron estas extensiones.
Parece que este ransomware estaba todavía en fase de prueba o desarrollo, ya que solo cifra los archivos dentro de la carpeta C:\users%username%\Desktop\testShiba y no afecta nada más en el sistema.
Una vez que termina de cifrar esos archivos, aparece una alerta de Windows con el mensaje: "Sus archivos han sido cifrados. Pague 1 ShibaCoin a ShibaWallet para recuperarlos". Curiosamente, no deja notas de rescate ni instrucciones adicionales, como suele ocurrir en los ataques de ransomware más sofisticados.
.webp?width=1158&height=457&name=code(1).webp)
Script malicioso de PowerShell (Fuente: ReversingLabs)
Conoce más sobre: Las Vulnerabilidades de Seguridad Más Comunes en Empresas
Errores en la revisión de extensiones: Una doble falla de Microsoft
Microsoft eliminó rápidamente las dos extensiones maliciosas de VSCode Marketplace después de que investigadores las reportaran. Sin embargo, según Italy Kruk, experto en seguridad de ExtensionTotal, su herramienta automatizada había detectado estas extensiones antes y se lo notificó a Microsoft, pero no recibió respuesta.
Kruk explicó que la extensión ahban.cychelloworld no era maliciosa cuando se subió por primera vez. Fue en su segunda versión (v0.0.2), publicada el 24 de noviembre de 2024, cuando se agregó el código del ransomware.
"Informamos sobre ahban.cychelloworld a Microsoft el 25 de noviembre de 2024, mediante un informe automático generado por nuestro escáner", comentó Kruk.
Parece que, debido al bajo número de instalaciones de esta extensión, Microsoft no priorizó su revisión. Lo preocupante es que desde entonces se publicaron cinco versiones más de la extensión, todas con el código malicioso, y todas fueron aceptadas en la tienda sin ser detectadas.
El hecho de que estas extensiones pudieran descargar y ejecutar scripts remotos de PowerShell sin ser identificadas durante casi cuatro meses revela una preocupante falla en el proceso de revisión de Microsoft.
Curiosamente, en otro caso reciente, Microsoft reaccionó de forma completamente opuesta: eliminó rápidamente dos temas de VSCode que tenían código ofuscado sospechoso, a pesar de que esas extensiones eran utilizadas por más de 9 millones de usuarios.
Más tarde se confirmó que los temas 'Material Theme – Free' y 'Material Theme Icons – Free' no eran maliciosos. Tras el error, Microsoft se disculpó por haber eliminado esas extensiones de forma injustificada y prometió mejorar sus sistemas de escaneo y revisión para evitar que algo similar vuelva a ocurrir.
