Instalas una extensión para facilitar tu trabajo, mejorar tu productividad o simplemente probar una nueva funcionalidad. Todo parece normal, hasta que tu computadora comienza a calentarse sin razón, el ventilador no deja de sonar y el rendimiento cae en picada. Lo que no sabías es que, detrás de esa inofensiva herramienta, se escondía un criptominero operando en silencio.
Eso fue exactamente lo que ocurrió con nueve extensiones de Visual Studio Code (VSCode) disponibles en el marketplace oficial de Microsoft. Estas extensiones, que aparentaban ser herramientas legítimas para desarrolladores, ocultaban código malicioso diseñado para instalar XMRig, un software que mina criptomonedas como Ethereum y Monero sin el consentimiento del usuario.
VSCode, uno de los editores de código más populares del mundo, permite a los usuarios ampliar su funcionalidad mediante extensiones que se descargan desde un marketplace centralizado. Ese entorno, hasta ahora considerado seguro, ha demostrado que no está exento de riesgos.
Extensiones maliciosas en VSCode: Estos son los paquetes sospechosos
Estos son los nombres de las extensiones que están en la mira por incluir malware. Algunas incluso parecen bastante útiles o conocidas, lo que hace aún más fácil caer en la trampa:
-
Discord Rich Presence para VS Code (autor:
Mark H) – ya tenía más de 189,000 instalaciones. -
Rojo – Roblox Studio Sync (autor:
evaera) – unas 117,000 instalaciones. -
Compilador Solidity (por
VSCode Developer) – alrededor de 1,300 instalaciones.
Y eso no es todo. También hay otras extensiones sospechosas como:
-
Claude AI
-
Compilador de Golang
-
Agente ChatGPT para VSCode
-
Ofuscador de HTML
-
Ofuscador de Python para VSCode
-
Compilador de Rust para VSCode
En total, todas estas extensiones suman más de 300,000 instalaciones desde el 4 de abril. Pero ojo, porque es muy probable que esos números hayan sido inflados artificialmente para que parezcan populares y confiables, haciendo que más personas las descarguen sin pensarlo mucho.
Según el equipo de ExtensionTotal, ya se notificó a Microsoft sobre estas extensiones maliciosas, pero al momento de escribir este artículo, aún siguen disponibles en el marketplace. Así que si usas VSCode, vale la pena revisar tu lista de extensiones instaladas y hacer limpieza si alguna de estas está ahí.
La extensión con temática de Discord en VSCode Marketplace (Fuente: BleepingComputer)
Podría interesarte leer: Señales de que tu PC con Windows Podría estar Infectado con Malware
El código de PowerShell instala el minero XMRig
Cuando instalás una de estas extensiones maliciosas, lo que realmente pasa detrás de escena es que descargan y ejecutan un script de PowerShell desde un sitio externo (https://asdf11[.]xyz/). Ese script es el que se encarga de instalar el minero XMRig, que empieza a usar tu computadora para minar criptomonedas sin que lo sepas. Para no levantar sospechas, después del proceso también instalan la extensión legítima que estaban imitando, así todo parece funcionar normal y nadie se da cuenta de que fue infectado.
Código para descargar el script de PowerShell
El script malicioso que ejecutan estas extensiones está lejos de ser simple. Hace de todo: desactiva protecciones, se asegura de mantenerse en el sistema, consigue más permisos y, al final, instala el criptominero que le da sentido a todo el ataque.
Primero, crea una tarea programada disfrazada con el nombre “OnedriveStartup” y mete un script en el Registro de Windows para que el archivo malicioso principal (Launcher.exe) se inicie automáticamente cada vez que encendés la computadora.
Después, desactiva servicios clave del sistema, como Windows Update y Update Medic, y se agrega a la lista de exclusiones de Windows Defender, para evitar ser detectado.
Si no logró ejecutarse con permisos de administrador desde el principio, tampoco se rinde: se hace pasar por un archivo legítimo del sistema (ComputerDefaults.exe) y utiliza una técnica llamada secuestro de DLL, aprovechando una versión manipulada de MLANG.dll, para aumentar sus privilegios y correr el malware con todos los permisos que necesita.
El ejecutable (Launcher.exe) está codificado en base64, y el mismo script de PowerShell lo decodifica para que pueda conectarse a un servidor remoto (myaunet[.]su), desde donde descarga e inicia XMRig, un minero de criptomonedas que trabaja en segundo plano usando los recursos de tu computadora.
Un detalle más: en ese servidor remoto también hay una carpeta con el nombre /npm/, lo que sugiere que los atacantes podrían estar planeando, o ya intentando, colarse también en el ecosistema de paquetes NPM. Aunque por ahora no se han identificado archivos maliciosos activos ahí, claramente están explorando nuevos caminos para expandir su campaña.
Presencia de un directorio NPM en el servidor del actor de amenazas
Si instalaste alguna de las nueve extensiones que mencionamos antes, lo mejor que puedes hacer es eliminarlas ya mismo. Pero ojo, con eso no alcanza. También vas a tener que buscar y borrar manualmente todo lo que dejaron atrás: el minero de criptomonedas, las tareas programadas, la clave en el Registro de Windows y la carpeta donde se esconde el malware. Por ahora, se está esperando una respuesta oficial de Microsoft sobre estas extensiones. En cuanto haya novedades, vamos a actualizar esta información para que sepas qué hacer y cómo actuar.
