Más de 100 extensiones de VS Code expusieron a desarrolladores a riesgos ocultos en la cadena de suministro

Un nuevo estudio reveló que más de 100 extensiones para Visual Studio Code (VS Code) filtraron tokens de acceso que podrían haber sido explotados por actores maliciosos para actualizar las extensiones y distribuir malware, generando un riesgo crítico en la cadena de suministro de software. El investigador Rami McCarthy de Wiz explicó que estos tokens permiten a un atacante distribuir actualizaciones maliciosas a toda la base de usuarios instalada, que suma alrededor de 150,000 desarrolladores. El análisis mostró que muchos publicadores no consideraron que las extensiones se distribuyen como archivos .vsix que pueden descomprimirse y analizarse, exponiendo secretos hard-codeados como tokens para proveedores de inteligencia artificial (OpenAI, Gemini, etc.), servicios en la nube (AWS, Google Cloud), bases de datos y otras credenciales sensibles. Entre estas, más de 100 extensiones filtraron tokens de VS Code Marketplace, con más de 85,000 instalaciones, y otras 30 filtraron tokens del registro Open VSX; una gran parte correspondía a temas visuales. Un informe destacado destaca una extensión cuyo token comprometido podría haber permitido la infección dirigida a empleados de una empresa china valorada en 30 mil millones de dólares. Microsoft revocó estos tokens comprometidos y anunció que ahora agregará detección automática de secretos en extensiones para prevenir futuras filtraciones. Se recomienda a los usuarios limitar las extensiones instaladas, revisarlas cuidadosamente y evaluar desactivar las actualizaciones automáticas. Las organizaciones deben mantener un inventario de extensiones usadas y evaluar la posibilidad de crear una lista blanca centralizada. Este caso revela los riesgos continuos de las extensiones en los entornos de desarrollo y confirma que los repositorios de paquetes enfrentan un peligro elevado de fuga masiva de secretos, afectando la seguridad de toda la cadena de suministro del software. Además, el grupo TigerJack publicó al menos 11 extensiones maliciosas que cumplen la función prometida para fingir legitimidad, pero que esconden malware como keyloggers y mineros de criptomonedas, y que operan con puertas traseras para control remoto