Cuando Microsoft creó VSCode, pretendía crear una solución para desarrolladores que pudiera integrarse con extensiones y extras. Ha conseguido crear una herramienta que ha conquistado el mercado, pero que aún tiene margen de mejora.
Un reciente análisis del Marketplace que da servicio a VSCode ha revelado un panorama preocupante. Es muy sencillo colocar extensiones maliciosas en esta tienda y explotar así los datos de los usuarios, sin que éstos sean conscientes de este peligro.
Cuidado con las extensiones VSCode
Para todos los que se dedican a la programación, VSCode es una elección casi obvia. Desde su introducción ha conquistado este ámbito, siendo utilizado ya por más del 70% de quienes se ocupan a diario de diversos lenguajes de programación.
Con todas las herramientas adicionales a las que da acceso a través de extensiones, se vuelve aún mejor y más útil para los programadores. Es precisamente en el Marketplace, el lugar de acceso a las extensiones, donde ahora se ha descubierto una vulnerabilidad muy importante.
Aqua Nautilus has discovered attackers can easily impersonate VSCode extensions and trick developers into downloading them.
— Aqua Security (@AquaSecTeam) January 6, 2023
This method targets developers through their IDEs and could potentially compromise the entire #software development process. https://t.co/JzXc4T6tnG
Microsoft Marketplace tiene un fallo evidente
Lo que AquaSec descubrió es que es posible colocar en esta tienda extensiones idénticas a las legítimas. El detalle llega hasta el punto de tener el mismo nombre, las mismas descripciones e incluso los mismos logotipos e imágenes.
Al instalar una de estas extensiones, se podían realizar varias acciones. Entre ellas, instalar programas adicionales, robar o manipular el código fuente en VSCode e incluso utilizar las claves SSH del desarrollador para acceder a repositorios GitHub vinculados.
El fallo ya está siendo explotado por los atacantes
Lo más preocupante de este descubrimiento es que no se trata sólo de un escenario hipotético. Ya hay varias extensiones presentes en el Marketplace que imitan a otras mucho más exitosas que buscan robar datos de los usuarios. Uno de los ejemplos encontrados consistía en realizar peticiones a un servidor central, esperando una respuesta positiva para iniciar acciones maliciosas.
El consejo para quienes utilizan VSCode es que tengan mucho cuidado al instalar extensiones desde Marketplace. Valide el nombre correcto de lo que busca, evalúe el número de instalaciones e incluso los comentarios de otros usuarios. Se trata de un peligro real y las consecuencias pueden ser graves, especialmente en entornos corporativos.
