Investigadores de ciberseguridad han descubierto dos nuevas extensiones en Microsoft Visual Studio Code (VS Code) Marketplace que están diseñadas para infectar las computadoras de los desarrolladores con malware ladrón.
Las extensiones de VS Code se disfrazan como un tema oscuro premium y un asistente de codificación basado en inteligencia artificial (IA), pero en realidad contienen funciones ocultas para descargar cargas útiles adicionales, tomar capturas de pantalla y recopilar datos. Luego, la información capturada se envía a un servidor controlado por el atacante.
“Tu código. Tus correos electrónicos. Tus mensajes directos de Slack. Lo que sea que esté en tu pantalla, ellos también lo ven”, dijo Idan Dardikman de Koi Security. “Y eso es sólo el comienzo. También roba tus contraseñas de Wi-Fi, lee tu portapapeles y secuestra tus sesiones de navegación”.
Los nombres de las extensiones se enumeran a continuación:
- BigBlack.bitcoin-black (16 instalaciones): eliminado por Microsoft el 5 de diciembre de 2025
- BigBlack.codo-ai (25 instalaciones): eliminado por Microsoft el 8 de diciembre de 2025
La lista de extensiones eliminadas de Marketplace de Microsoft muestra que la compañía también eliminó un tercer paquete llamado “BigBlack.mrbigblacktheme” del mismo editor porque contenía malware.
Mientras que “BigBlack.bitcoin-black” se activa con cada acción de VS Code, Codo AI incorpora su funcionalidad maliciosa en una herramienta de trabajo, lo que permite evadir la detección.
Las versiones anteriores de las extensiones brindaban la capacidad de ejecutar un script de PowerShell para descargar un archivo ZIP protegido con contraseña desde un servidor externo (“syn11122233344445556667778889990(.)org”) y extraer la carga útil principal usando cuatro métodos diferentes: archivo expandido nativo de Windows, .NET System.IO.Compression, DotNetZip y 7-Zip (si está instalado).
Sin embargo, se dice que el atacante entregó accidentalmente una versión que creaba una ventana visible de PowerShell y podría haber alertado al usuario. Sin embargo, se descubrió que en iteraciones posteriores la ventana estaba oculta y todo el proceso se optimizó cambiando a un script por lotes que utiliza un comando curl para descargar el ejecutable y la DLL.
El ejecutable es el binario legítimo de Lightshot utilizado para cargar la DLL maliciosa (“Lightshot.dll”) mediante el secuestro de DLL. Luego captura el contenido del portapapeles, una lista de aplicaciones instaladas, procesos en ejecución, capturas de pantalla del escritorio, credenciales de Wi-Fi guardadas e información detallada del sistema. Además, Google Chrome y Microsoft Edge se inician en modo sin cabeza para recuperar las cookies almacenadas y secuestrar las sesiones de los usuarios.
“Un desarrollador podría instalar lo que parece un tema inofensivo o una útil herramienta de inteligencia artificial y, en cuestión de segundos, sus contraseñas de Wi-Fi, el contenido del portapapeles y las sesiones del navegador se filtran a un servidor remoto”, dijo Dardikman.
La revelación se produce cuando Socket dijo que había identificado paquetes maliciosos en los ecosistemas Go, npm y Rust capaces de recopilar datos confidenciales.
- Paquetes Go llamados “github(.)com/bpoorman/uuid” y “github(.)com/bpoorman/uid”, disponibles desde 2021, y bibliotecas UUID confiables de typosquat (“github(.)com/google/uuid” y “github(.)com/pborman/uuid”) para filtrar datos a una página de pegado llamada dpaste cuando una aplicación usa explícitamente una supuesta función auxiliar llamada “válida” junto con la información de llamadas. eso necesita ser validado.
- Un conjunto de 420 paquetes npm únicos publicados por un probable actor de amenazas de habla francesa que siguen un patrón de nomenclatura consistente, incluido “elf-stats-*”, algunos de los cuales contienen código para ejecutar un shell inverso y filtrar archivos a un punto final de Pipedream.
- Una caja de Rust llamada finch-rust publicada por faceless que se hace pasar por una herramienta bioinformática legítima “finch” y actúa como un cargador para una carga útil maliciosa a través de un paquete de robo de credenciales llamado “sha-rust” cuando un desarrollador usa la función de serialización Sketch de la biblioteca.
“Finch-rust actúa como un cargador de malware; contiene principalmente código legítimo copiado del paquete Finch legítimo, pero contiene una única línea maliciosa que carga y ejecuta la carga útil de Sha-rust”, dijo el investigador de Socket, Kush Pandya. “Esta separación de preocupaciones dificulta la detección: Finch-Rust parece inofensivo de forma aislada, mientras que Sha-Rust contiene el malware real”.
About The Author
