Investigadores de ciberseguridad han descubierto dos extensiones maliciosas de Microsoft Visual Studio Code (VS Code) que se anuncian como asistentes de codificación impulsados por inteligencia químico (IA), pero que además albergan una funcionalidad estafa para desviar datos de desarrolladores a servidores con sede en China.
Las extensiones, que tienen 1,5 millones de instalaciones combinadas y todavía están disponibles para descargar desde el Visual Studio Marketplace oficial, se enumeran a continuación:
- ChatGPT – Interpretación china (ID: whensunset.chatgpt-china) – 1.340.869 instalaciones
- ChatGPT – ChatMoss(CodeMoss)(ID: zhukunpeng.chat-moss) – 151,751 instalaciones
Koi Security dijo que las extensiones son funcionales y funcionan como se esperaba, pero además capturan cada archivo que se abre y cada modificación del código fuente en servidores ubicados en China sin el conocimiento o consentimiento de los usuarios. La campaña ha recibido el nombre en código MaliciousCorgi.
“Los dos contienen código bellaco idéntico: la misma infraestructura de software infiltrado ejecutándose bajo diferentes nombres de editores”, dijo el investigador de seguridad Tuval Admoni.
Lo que hace que la actividad sea particularmente peligrosa es que las extensiones funcionan exactamente como se anuncia, proporcionando sugerencias de autocompletar y explicando errores de codificación, evitando así originar señales de alerta y disminuyendo las sospechas de los usuarios.
Al mismo tiempo, el código bellaco incorporado está diseñado para descubrir todo el contenido de cada archivo que se abre, codificarlo en formato Base64 y enviarlo a un servidor sito en China (“aihao123(.)cn”). El proceso se activa para cada publicación.
Las extensiones además incorporan una función de monitoreo en tiempo vivo que el servidor puede activar de forma remota, lo que provoca que se exfiltren hasta 50 archivos en el espacio de trabajo. Además está presente en la tino web de la extensión un iframe oculto de cero píxeles que carga cuatro kits de crecimiento de software de descomposición (SDK) comerciales para tomar huellas dactilares de los dispositivos y crear perfiles de heredero extensos.
Los cuatro SDK utilizados son Zhuge.io, GrowingIO, TalkingData y Baidu Analytics, todas las cuales son importantes plataformas de descomposición de datos con sede en China.
Los defectos de PackageGate afectan a los administradores de paquetes de JavaScript
La divulgación se produce cuando la compañía de seguridad de la sujeción de suministro dijo que identificó seis vulnerabilidades de día cero en administradores de paquetes JavaScript como npm, pnpm, vlt y Bun que podrían explotarse para anular los controles de seguridad implementados para suprimir la ejecución cibernética de scripts del ciclo de vida durante la instalación del paquete. Las fallas se denominaron colectivamente PackageGate.
Defensas como deshabilitar los scripts del ciclo de vida (“–ignore-scripts”) y confirmar archivos de retiro (“package-lock.json”) se han convertido en mecanismos cruciales para enemistar los ataques a la sujeción de suministro, especialmente posteriormente de Shai-Hulud, que aprovecha los scripts posteriores a la instalación para propagarse en forma de infame para secuestrar tokens npm y transmitir versiones maliciosas de los paquetes en el registro.
Sin incautación, Koi descubrió que es posible evitar la ejecución de scripts y las comprobaciones de integridad de archivos de retiro en los cuatro administradores de paquetes. Tras una divulgación responsable, los problemas se abordaron en pnpm (lectura 10.26.0), vlt (lectura 1.0.0-rc.10) y Bun (lectura 1.3.5). Pnpm está rastreando las dos vulnerabilidades como CVE-2025-69264 (puntuación CVSS: 8,8) y CVE-2025-69263 (puntuación CVSS: 7,5).
Npm, sin incautación, optó por no solucionar la vulnerabilidad, afirmando que “los usuarios son responsables de examinar el contenido de los paquetes que deciden instalar”. Cuando se le contactó para hacer comentarios, un portavoz de GitHub le dijo a The Hacker News que está trabajando activamente para enfrentarse el nuevo problema mientras npm búsqueda activamente malware en el registro.
“Si un paquete que se instala a través de git contiene un script de preparación, se instalarán sus dependencias y devDependencies. Como compartimos cuando se presentó el ticket, este es un diseño intencional y funciona como se esperaba”, dijo la compañía. “Cuando los usuarios instalan una dependencia de git, confían en todo el contenido de ese repositorio, incluidos sus archivos de configuración”.
La filial propiedad de Microsoft además ha instado a los proyectos a adoptar tokens de entrada granular y de publicación confiable con autenticación de dos factores (2FA) obligatoria para proteger la sujeción de suministro de software. A partir de septiembre de 2025, GitHub dejó de usar los tokens clásicos heredados, limitó los tokens granulares con permisos de publicación a un vencimiento más corto y eliminó la opción de suprimir 2FA para la publicación de paquetes locales.
“Aún vale la pena seguir el consejo standard, deshabilitar los scripts y confirmar los archivos de retiro”, dijo el investigador de seguridad Oren Yomtov. “Pero no es el panorama completo. Hasta que PackageGate se aborde por completo, las organizaciones deben tomar sus propias decisiones informadas sobre el aventura”.
(La historia se actualizó posteriormente de la publicación para incluir una respuesta de GitHub).
