Los hackers están ocultando malware en herramientas de código abierto y extensiones de IDE.
La creencia común de que “el código abierto es seguro porque todos pueden inspeccionar el código” es engañosa. En realidad, la mayoría de los proyectos de código abierto incluyen complementos y componentes que no son de código abierto en absoluto, y estas partes ocultas pueden contener fácilmente spyware, malware y virus. Una vez instalados, pueden tomar el control tanto de la computadora del usuario como de los servidores que ejecutan el llamado código abierto, dando a los hackers control total para hacer lo que quieran.
Un ciberataque recién descubierto—una de las campañas más sofisticadas centradas en desarrolladores vistas en los últimos años—está armando el flujo de trabajo diario de los ingenieros de software.
Las empresas de seguridad han revelado una operación maliciosa en la que los atacantes insertan malware sigiloso en extensiones aparentemente inofensivas y herramientas de código abierto utilizadas por decenas de miles de desarrolladores en todo el mundo.
Estas extensiones parecen completamente legítimas, pero exfiltran silenciosamente datos altamente sensibles como contraseñas, credenciales de acceso a Wi-Fi, tokens de autenticación, contenidos del portapapeles e incluso capturas de pantalla en vivo tomadas directamente de las máquinas de los desarrolladores.
EXTENSIONES DE VS CODE COMPROMETIDAS: “BITCOIN BLACK” Y “CODO AI”
Se confirmaron dos extensiones de Visual Studio Code que contenían componentes maliciosos incrustados: el tema _Bitcoin Black_ y una herramienta asistente de IA llamada _Codo AI_. Ambas extensiones parecían completamente legítimas en el mercado y realizaban las funciones anunciadas, lo que les ayudó a eludir sospechas y lograr una amplia adopción.
Una vez instaladas, las extensiones desplegaron una carga maliciosa adicional que cosechaba continuamente datos de dispositivos infectados. Los actores de la amenaza no estaban contentos con solo recopilar contraseñas. El malware capturaba capturas de pantalla en tiempo real de las pantallas de los desarrolladores, revelando código fuente, discusiones en Slack, credenciales, documentación interna y directorios de proyectos confidenciales.
Este nivel de visibilidad permite a los atacantes mapear flujos de trabajo enteros, entender arquitecturas sensibles y apuntar a organizaciones con precisión.
LA TÉCNICA DE ATAQUE: SECUESTRO DE DLL COMO VEHÍCULO DE ENTREGA
La operación se basaba en un método avanzado conocido como SECUESTRO DE DLL, que abusa de la forma en que el software legítimo carga bibliotecas del sistema.
Los atacantes descargaron una herramienta de captura de pantalla real y benigna (Lightshot) en la máquina de la víctima, emparejándola con un DLL malicioso que llevaba el mismo nombre de archivo que la biblioteca esperada de la herramienta. Cuando se lanzó Lightshot, cargó automáticamente el DLL falso del atacante. Esto activó la ejecución del malware sin levantar sospechas.
Los investigadores de seguridad encontraron que el malware recopilaba:
*
Capturas de pantalla continuas y datos del portapapeles
*
Contraseñas de Wi-Fi y credenciales inalámbricas guardadas
*
Cookies del navegador, tokens de autenticación y sesiones activas (a través de Chrome y Edge en modo sin cabeza)
*
Información sobre software instalado, procesos en ejecución y herramientas de desarrollo
Koi Security informa que los atacantes han estado iterando y mejorando la operación, utilizando cada vez más scripts “limpios” y que parecen inocuos para mezclarse con la actividad normal de los desarrolladores.
LA CAMPAÑA SE ESTÁ EXPANDIENDO MÁS ALLÁ DE VS CODE
Mientras que los primeros hallazgos surgieron en VS Code, inyecciones maliciosas similares ahora están apareciendo en todo el ecosistema de código abierto:
*
NPM Y GO: Paquetes de malware que imitan los nombres de bibliotecas populares y de confianza
*
RUST: Una biblioteca llamada _finch-rust_ se disfrazó de una herramienta de computación científica, pero en su lugar cargó un componente adicional llamado _sha-rust_
Esto refleja un ataque directo a la CADENA DE SUMINISTRO DE SOFTWARE, el mecanismo de confianza en el que los desarrolladores confían al importar paquetes, extensiones o dependencias. Al comprometer herramientas que están en el corazón del desarrollo de software, los atacantes obtienen acceso privilegiado a organizaciones enteras.
POR QUÉ ESTA AMENAZA ES TAN PELIGROSA
Un solo desarrollador que instale una extensión que parece benigna puede desencadenar sin saberlo una brecha en toda la empresa:
*
Robo de código fuente propietario y central
*
Toma de cuentas de desarrollo en GitHub y otras cuentas en la nube
*
Infección de pipelines CI/CD y entornos de construcción
*
Exposición de datos sensibles de clientes, credenciales y arquitectura interna
Debido a que los entornos de desarrollo están privilegiados por diseño—almacenando secretos, tokens, claves SSH y código—el radio de explosión de la compromisión es enorme.
La escaneo de código estático tradicional es insuficiente para detectar estos ataques. Las extensiones en sí a menudo parecen legítimas o incluyen código inofensivo junto a cargas ocultas. Lo que se requiere es MONITOREO COMPORTAMENTAL EN TIEMPO REAL capaz de señalar acciones anómalas—como una extensión de tema que intenta acceder a contraseñas almacenadas.
MEDIDAS DE SEGURIDAD RECOMENDADAS PARA DESARROLLADORES Y ORGANIZACIONES
Para reducir la exposición, las empresas de ciberseguridad recomiendan los siguientes pasos defensivos:
*
ACTIVAR LA AUTENTICACIÓN MULTICAPAS EN TODAS LAS CUENTAS DE DESARROLLO, incluyendo GitHub, GitLab, proveedores de nube y herramientas CI/CD.
*
VERIFICAR LA IDENTIDAD Y REPUTACIÓN DE LOS EDITORES DE EXTENSIONES antes de la instalación.
*
EVITAR PLUGINS ANÓNIMOS, POCO REVISADOS O DESCONOCIDOS—aunque parezcan inofensivos.
*
ADOPTAR HERRAMIENTAS DE SEGURIDAD QUE INCLUYAN DETECCIÓN COMPORTAMENTAL, no solo escaneo estático.
*
TRATAR TODAS LAS HERRAMIENTAS DE DESARROLLO POTENCIADAS POR IA CON CUIDADO, especialmente aquellas que solicitan permisos elevados del sistema.
*
Realizar AUDITORÍAS REGULARES DE LOS ENTORNOS DE DESARROLLO, incluyendo sesiones de navegador, secretos, tokens almacenados y extensiones instaladas.
Este ataque marca un punto de inflexión en el cibercrimen centrado en desarrolladores.
Al apuntar a las mismas herramientas de las que los desarrolladores dependen a diario, los atacantes obtienen acceso sin precedentes al ecosistema de software global. Los hallazgos subrayan la urgente necesidad de una mayor seguridad en la cadena de suministro, un riguroso control de las extensiones y un monitoreo comportamental para defender los flujos de trabajo de desarrollo más sensibles del mundo.
Las empresas de seguridad han revelado una operación maliciosa en la que los atacantes insertan malware sigiloso en extensiones aparentemente inofensivas y herramientas de código abierto utilizadas por decenas de miles de desarrolladores en todo el mundo.
Estas extensiones parecen completamente legítimas, pero exfiltran silenciosamente datos altamente sensibles como contraseñas, credenciales de acceso a Wi-Fi, tokens de autenticación, contenidos del portapapeles e incluso capturas de pantalla en vivo tomadas directamente de las máquinas de los desarrolladores.
EXTENSIONES DE VS CODE COMPROMETIDAS: “BITCOIN BLACK” Y “CODO AI”
Se confirmaron dos extensiones de Visual Studio Code que contenían componentes maliciosos incrustados: el tema _Bitcoin Black_ y una herramienta asistente de IA llamada _Codo AI_. Ambas extensiones parecían completamente legítimas en el mercado y realizaban las funciones anunciadas, lo que les ayudó a eludir sospechas y lograr una amplia adopción.
Una vez instaladas, las extensiones desplegaron una carga maliciosa adicional que cosechaba continuamente datos de dispositivos infectados. Los actores de la amenaza no estaban contentos con solo recopilar contraseñas. El malware capturaba capturas de pantalla en tiempo real de las pantallas de los desarrolladores, revelando código fuente, discusiones en Slack, credenciales, documentación interna y directorios de proyectos confidenciales.
Este nivel de visibilidad permite a los atacantes mapear flujos de trabajo enteros, entender arquitecturas sensibles y apuntar a organizaciones con precisión.
LA TÉCNICA DE ATAQUE: SECUESTRO DE DLL COMO VEHÍCULO DE ENTREGA
La operación se basaba en un método avanzado conocido como SECUESTRO DE DLL, que abusa de la forma en que el software legítimo carga bibliotecas del sistema.
Los atacantes descargaron una herramienta de captura de pantalla real y benigna (Lightshot) en la máquina de la víctima, emparejándola con un DLL malicioso que llevaba el mismo nombre de archivo que la biblioteca esperada de la herramienta. Cuando se lanzó Lightshot, cargó automáticamente el DLL falso del atacante. Esto activó la ejecución del malware sin levantar sospechas.
Los investigadores de seguridad encontraron que el malware recopilaba:
*
Capturas de pantalla continuas y datos del portapapeles
*
Contraseñas de Wi-Fi y credenciales inalámbricas guardadas
*
Cookies del navegador, tokens de autenticación y sesiones activas (a través de Chrome y Edge en modo sin cabeza)
*
Información sobre software instalado, procesos en ejecución y herramientas de desarrollo
Koi Security informa que los atacantes han estado iterando y mejorando la operación, utilizando cada vez más scripts “limpios” y que parecen inocuos para mezclarse con la actividad normal de los desarrolladores.
LA CAMPAÑA SE ESTÁ EXPANDIENDO MÁS ALLÁ DE VS CODE
Mientras que los primeros hallazgos surgieron en VS Code, inyecciones maliciosas similares ahora están apareciendo en todo el ecosistema de código abierto:
*
NPM Y GO: Paquetes de malware que imitan los nombres de bibliotecas populares y de confianza
*
RUST: Una biblioteca llamada _finch-rust_ se disfrazó de una herramienta de computación científica, pero en su lugar cargó un componente adicional llamado _sha-rust_
Esto refleja un ataque directo a la CADENA DE SUMINISTRO DE SOFTWARE, el mecanismo de confianza en el que los desarrolladores confían al importar paquetes, extensiones o dependencias. Al comprometer herramientas que están en el corazón del desarrollo de software, los atacantes obtienen acceso privilegiado a organizaciones enteras.
POR QUÉ ESTA AMENAZA ES TAN PELIGROSA
Un solo desarrollador que instale una extensión que parece benigna puede desencadenar sin saberlo una brecha en toda la empresa:
*
Robo de código fuente propietario y central
*
Toma de cuentas de desarrollo en GitHub y otras cuentas en la nube
*
Infección de pipelines CI/CD y entornos de construcción
*
Exposición de datos sensibles de clientes, credenciales y arquitectura interna
Debido a que los entornos de desarrollo están privilegiados por diseño—almacenando secretos, tokens, claves SSH y código—el radio de explosión de la compromisión es enorme.
La escaneo de código estático tradicional es insuficiente para detectar estos ataques. Las extensiones en sí a menudo parecen legítimas o incluyen código inofensivo junto a cargas ocultas. Lo que se requiere es MONITOREO COMPORTAMENTAL EN TIEMPO REAL capaz de señalar acciones anómalas—como una extensión de tema que intenta acceder a contraseñas almacenadas.
MEDIDAS DE SEGURIDAD RECOMENDADAS PARA DESARROLLADORES Y ORGANIZACIONES
Para reducir la exposición, las empresas de ciberseguridad recomiendan los siguientes pasos defensivos:
*
ACTIVAR LA AUTENTICACIÓN MULTICAPAS EN TODAS LAS CUENTAS DE DESARROLLO, incluyendo GitHub, GitLab, proveedores de nube y herramientas CI/CD.
*
VERIFICAR LA IDENTIDAD Y REPUTACIÓN DE LOS EDITORES DE EXTENSIONES antes de la instalación.
*
EVITAR PLUGINS ANÓNIMOS, POCO REVISADOS O DESCONOCIDOS—aunque parezcan inofensivos.
*
ADOPTAR HERRAMIENTAS DE SEGURIDAD QUE INCLUYAN DETECCIÓN COMPORTAMENTAL, no solo escaneo estático.
*
TRATAR TODAS LAS HERRAMIENTAS DE DESARROLLO POTENCIADAS POR IA CON CUIDADO, especialmente aquellas que solicitan permisos elevados del sistema.
*
Realizar AUDITORÍAS REGULARES DE LOS ENTORNOS DE DESARROLLO, incluyendo sesiones de navegador, secretos, tokens almacenados y extensiones instaladas.
Este ataque marca un punto de inflexión en el cibercrimen centrado en desarrolladores.
Al apuntar a las mismas herramientas de las que los desarrolladores dependen a diario, los atacantes obtienen acceso sin precedentes al ecosistema de software global. Los hallazgos subrayan la urgente necesidad de una mayor seguridad en la cadena de suministro, un riguroso control de las extensiones y un monitoreo comportamental para defender los flujos de trabajo de desarrollo más sensibles del mundo.
Translation:
Translated by AI
AI Disclaimer: An advanced artificial intelligence (AI) system generated the content of this page on its own. This innovative technology conducts extensive research from a variety of reliable sources, performs rigorous fact-checking and verification, cleans up and balances biased or manipulated content, and presents a minimal factual summary that is just enough yet essential for you to function as an informed and educated citizen. Please keep in mind, however, that this system is an evolving technology, and as a result, the article may contain accidental inaccuracies or errors. We urge you to help us improve our site by reporting any inaccuracies you find using the "Contact Us" link at the bottom of this page. Your helpful feedback helps us improve our system and deliver more precise content. When you find an article of interest here, please look for the full and extensive coverage of this topic in traditional news sources, as they are written by professional journalists that we try to support, not replace. We appreciate your understanding and assistance.
