Un nuevo estudio de entornos de expansión integrados (IDE) como Microsoft Visual Studio Code, Visual Studio, IntelliJ Idea y Cursor ha revelado debilidades en cómo manejan el proceso de demostración de extensión, lo que finalmente permite a los atacantes ejecutar código ladino en máquinas desarrolladoras.
“Descubrimos que las verificaciones de demostración defectuosa en el código de Visual Studio permiten a los editores pegar funcionalidad a las extensiones mientras mantienen el ícono verificado”, dijeron los investigadores de seguridad de Ox Nir Zadok y Moshe Siman Tov Bustan en un noticia compartido con The Hacker News. “Esto da como resultado el potencial de que las extensiones maliciosas parezcan verificadas y aprobadas, creando un copiado sentido de confianza”.
Específicamente, el estudio encontró que Visual Studio Code envía una solicitud de publicación HTTP al dominio “Marketplace.VisualStudio (.) Com” para determinar si se verifica una extensión o de otra guisa.
El método de explotación implica esencialmente crear una extensión maliciosa con los mismos títulos verificables que una extensión ya verificada, como la de Microsoft, y evitando las verificaciones de confianza.
Como resultado, permite que las extensiones rebeldes parezcan verificadas a desarrolladores desprevenidos, al tiempo que contiene un código capaz de ejecutar comandos del sistema eficaz.
Desde el punto de perspicacia de la seguridad, este es un caso clásico de injusticia de extensión fronterizo, donde los malos actores distribuyen complementos fuera del mercado oficial. Sin la aplicación adecuada de firma de código o demostración de editor de confianza, incluso las extensiones de aspecto probado pueden ocultar scripts peligrosos.
Para los atacantes, esto abre un punto de entrada de depreciación barrera para obtener la ejecución de código remoto, un aventura que es especialmente enfermo en entornos de expansión donde a menudo se pueden ceder a las credenciales confidenciales y el código fuente.
En una prueba de concepto (POC) demostrada por la compañía de seguridad cibernética, la extensión se configuró para aclarar la aplicación de la calculadora en una máquina de Windows, resaltando así su capacidad para ejecutar comandos en el host subyacente.
Al identificar los títulos utilizados en las solicitudes de demostración y modificarlas, se descubrió que es posible crear un archivo de paquete VSIX de guisa que haga que la extensión maliciosa parezca legítima.
OX Security dijo que fue capaz de reproducir el defecto en otros ides como la idea y el cursor de IntelliJ modificando los títulos utilizados para la demostración sin hacer que pierdan su estado verificado.
En respuesta a divulgaciones responsables, Microsoft dijo que el comportamiento es por diseño y que los cambios evitarán que la extensión VSIX se publique al mercado adecuado a la demostración de firma de extensión que está habilitada de forma predeterminada en todas las plataformas.
Sin bloqueo, la compañía de seguridad cibernética encontró que la defecto era explotable tan recientemente como el 29 de junio de 2025. Las noticiero de los hackers se han comunicado con Microsoft para hacer comentarios, y actualizaremos la historia si recibimos noticiero.
Los resultados muestran una vez más que obedecer sólo del símbolo verificado de las extensiones puede ser arriesgado, ya que los atacantes pueden engañar a los desarrolladores para que ejecute código ladino sin su conocimiento. Para mitigar tales riesgos, se recomienda instalar extensiones directamente desde los mercados oficiales en emplazamiento de usar archivos de extensión VSIX compartidos en partidura.
“La capacidad de inyectar código ladino en extensiones, empaquetarlos como archivos VSIX/zip e instalarlos mientras se mantiene los símbolos verificados en múltiples plataformas de expansión importantes plantea un aventura enfermo”, dijeron los investigadores. “Esta vulnerabilidad afecta particularmente a los desarrolladores que instalan extensiones de fortuna en partidura como Github”.
