Los forks de código VS recomiendan perder extensiones, creando riesgo en la cadena de suministro en VSX abierto

Diego Cortes R. martes, enero 06, 2026Compartir:


Se ha encontrado que forks populares de Microsoft Visual Studio Code (VS Code) impulsados por inteligencia artificial (IA), como Cursor, Windsurf, Google Antigravity y Trae, recomiendan extensiones que no existen en el registro Open VSX, lo que podría abrir la puerta a riesgos en la cadena de suministro cuando actores malintencionados publican paquetes maliciosos bajo esos nombres.

El problema, según Koi, es que estos entornos de desarrollo integrados (IDE) heredan la lista de extensiones oficialmente recomendadas del marketplace de extensiones de Microsoft. Estas extensiones no existen en Open VSX.

Las recomendaciones de extensión VS Code pueden adoptar dos formas diferentes: basadas en archivos, que se muestran como notificaciones de toast cuando los usuarios abren un archivo en formatos específicos, o basadas en software, que se sugieren cuando ciertos programas ya están instalados en el host.

"El problema: estas extensiones recomendadas no existían en Open VSX", dijo el investigador de seguridad de Koi, Oren Yomtov. " Los espacios de nombres no estaban reclamados. Cualquiera podía registrarlos y subir lo que quisiera."

En otras palabras, un atacante podría utilizar la ausencia de estas extensiones VS Code y el hecho de que los IDE impulsados por IA son bifurcaciones VS Code para subir una extensión maliciosa al registro Open VSX, como ms-ossdata.vscode-postgresql.

Como resultado, cada vez que un desarrollador con PostgreSQL instalado abre uno de los IDE mencionados y ve el mensaje "Recomendado: Extensión PostgreSQL", una acción de instalación trivial es suficiente para que la extensión fraudulenta se despliegue en su sistema.

Este simple acto de confianza puede tener consecuencias graves, potencialmente conduciendo al robo de datos sensibles, incluyendo credenciales, secretos y código fuente. Koi dijo que su extensión provisional PostgreSQL atrajo al menos 500 instalaciones, lo que indica que los desarrolladores la están descargando simplemente porque el IDE la sugirió como recomendación.

Los nombres de algunas de las extensiones que han reclamado Koi con un marcador de posición se enumeran a continuación:

  • ms-ossdata.vscode-postgresql
  • ms-azure-devops.azure-pipelines
  • msazurermtools.azurerm-vscode-tools
  • usqlextpublisher.usql-vscode-ext
  • cake-build.cake-vscode
  • pkosta2005.heroku-command


En respuesta a la divulgación responsable, Cursor y Google han lanzado soluciones para solucionar el problema. La Eclipse Foundation, que supervisa Open VSX, ha eliminado desde entonces a los contribuyentes no oficiales y ha aplicado salvaguardas más amplias a nivel de registro.

Con los actores amenazantes cada vez más centrados en explotar las lagunas de seguridad en los mercados de extensiones y repositorios de código abierto, es esencial que los desarrolladores tengan cautela antes de descargar cualquier paquete o aprobar instalaciones verificando que provienen de un editor de confianza.

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!