Un nuevo estudio de entornos de mejora integrados (IDE) como Microsoft Visual Studio Code, Visual Studio, IntelliJ Idea y Cursor ha revelado debilidades en cómo manejan el proceso de demostración de extensión, lo que finalmente permite a los atacantes ejecutar código taimado en máquinas desarrolladoras.
«Descubrimos que las verificaciones de demostración defectuosa en el código de Visual Studio permiten a los editores amplificar funcionalidad a las extensiones mientras mantienen el ícono verificado», dijeron los investigadores de seguridad de Ox Nir Zadok y Moshe Siman Tov Bustan en un documentación compartido con The Hacker News. «Esto da como resultado el potencial de que las extensiones maliciosas parezcan verificadas y aprobadas, creando un traidor sentido de confianza».
Específicamente, el observación encontró que Visual Studio Code envía una solicitud de publicación HTTP al dominio «Marketplace.VisualStudio (.) Com» para determinar si se verifica una extensión o de otra guisa.
El método de explotación implica esencialmente crear una extensión maliciosa con los mismos títulos verificables que una extensión ya verificada, como la de Microsoft, y evitando las verificaciones de confianza.
Como resultado, permite que las extensiones rebeldes parezcan verificadas a desarrolladores desprevenidos, al tiempo que contiene un código capaz de ejecutar comandos del sistema eficaz.
Desde el punto de instinto de la seguridad, este es un caso clásico de alcaldada de extensión colateral, donde los malos actores distribuyen complementos fuera del mercado oficial. Sin la aplicación adecuada de firma de código o demostración de editor de confianza, incluso las extensiones de aspecto oficial pueden ocultar scripts peligrosos.
Para los atacantes, esto abre un punto de entrada de herido barrera para conquistar la ejecución de código remoto, un aventura que es especialmente serio en entornos de mejora donde a menudo se pueden lograr a las credenciales confidenciales y el código fuente.
En una prueba de concepto (POC) demostrada por la compañía de seguridad cibernética, la extensión se configuró para inaugurar la aplicación de la calculadora en una máquina de Windows, resaltando así su capacidad para ejecutar comandos en el host subyacente.
Al identificar los títulos utilizados en las solicitudes de demostración y modificarlas, se descubrió que es posible crear un archivo de paquete VSIX de guisa que haga que la extensión maliciosa parezca legítima.
OX Security dijo que fue capaz de reproducir el defecto en otros ides como la idea y el cursor de IntelliJ modificando los títulos utilizados para la demostración sin hacer que pierdan su estado verificado.
En respuesta a divulgaciones responsables, Microsoft dijo que el comportamiento es por diseño y que los cambios evitarán que la extensión VSIX se publique al mercado conveniente a la demostración de firma de extensión que está habilitada de forma predeterminada en todas las plataformas.
Sin secuestro, la compañía de seguridad cibernética encontró que la defecto era explotable tan recientemente como el 29 de junio de 2025. Las noticiario de los hackers se han comunicado con Microsoft para hacer comentarios, y actualizaremos la historia si recibimos noticiario.
Los resultados muestran una vez más que servir nada más del símbolo verificado de las extensiones puede ser arriesgado, ya que los atacantes pueden engañar a los desarrolladores para que ejecute código taimado sin su conocimiento. Para mitigar tales riesgos, se recomienda instalar extensiones directamente desde los mercados oficiales en punto de usar archivos de extensión VSIX compartidos en vírgula.
«La capacidad de inyectar código taimado en extensiones, empaquetarlos como archivos VSIX/zip e instalarlos mientras se mantiene los símbolos verificados en múltiples plataformas de mejora importantes plantea un aventura serio», dijeron los investigadores. «Esta vulnerabilidad afecta particularmente a los desarrolladores que instalan extensiones de medios en vírgula como Github».
