Alerta global para desarrolladores: Vulnerabilidades críticas en extensiones de VS Code afectan a 125 millones de usuarios
Una investigación exhaustiva liderada por la firma de seguridad OX Security ha puesto al descubierto fallos críticos en cuatro de las extensiones más populares de Microsoft Visual Studio Code (VS Code). Estas herramientas, esenciales en el flujo de trabajo de millones de programadores, presentan vulnerabilidades que permiten desde el robo de archivos locales hasta la ejecución remota de código (RCE).
En total, las extensiones afectadas suman más de 125 millones de instalaciones, lo que representa uno de los mayores riesgos detectados hasta la fecha para el ecosistema de desarrollo de software.
Las extensiones bajo la lupa
Los investigadores Moshe Siman Tov Bustan y Nir Zadok, autores del informe, identificaron fallos específicos en herramientas que muchos desarrolladores consideran "estándares de la industria":
Live Server (CVE-2025-65717): Con una puntuación de severidad de 9.1 (Crítica), este fallo permite a un atacante exfiltrar archivos del sistema del desarrollador. El ataque ocurre cuando un programador visita un sitio web malicioso mientras la extensión está activa; un script embebido puede entonces "saltar" al servidor HTTP local que crea Live Server para extraer datos privados.
Microsoft Live Preview: Similar a la anterior, esta extensión oficial de Microsoft presentaba una vulnerabilidad de cross-site scripting (XSS). Un sitio web atacante podría enumerar archivos en la raíz del disco del usuario y robar credenciales o claves de acceso de servicios en la nube.
Code Runner: Se detectó que esta extensión lee comandos de ejecución de un archivo de configuración global que puede ser manipulado. Un atacante podría inyectar comandos maliciosos para obtener una "shell" inversa y tomar control total de la máquina.
Markdown Preview Enhanced: Esta herramienta era vulnerable a la inyección de contenido que permitía realizar un reconocimiento de la red local del usuario, identificando puertos abiertos y servicios internos.
El desarrollador como puerta de entrada a la empresa
"Nuestra investigación demuestra que un hacker solo necesita una extensión vulnerable para realizar un movimiento lateral y comprometer organizaciones enteras", señalaron los expertos de OX Security. Al comprometer el entorno de un desarrollador, los atacantes pueden acceder a repositorios de código fuente, secretos de infraestructura y entornos de producción.
A diferencia de las extensiones maliciosas que suelen aparecer en el Marketplace, estas son extensiones legítimas y ampliamente confiables, lo que hacía que los desarrolladores no sospecharan de su comportamiento.
Recomendaciones de seguridad
Tras la divulgación responsable por parte de OX Security, la mayoría de estas herramientas han recibido parches de seguridad. Sin embargo, se recomienda a la comunidad seguir estas directrices:
Actualizar de inmediato: Verificar que todas las extensiones en VS Code estén en su versión más reciente.
Higiene de extensiones: Desinstalar o deshabilitar cualquier extensión que no sea estrictamente necesaria para el proyecto actual.
Navegación segura: Evitar navegar por sitios web desconocidos o no confiables mientras se mantienen activos servidores locales (localhost) para previsualización de código.
Confianza de espacio de trabajo: Utilizar siempre la función "Workspace Trust" de VS Code para restringir la ejecución de scripts en carpetas desconocidas.
El informe concluye que la seguridad de la cadena de suministro no termina en el código que se escribe, sino que incluye las herramientas utilizadas para escribirlo.