Visual Studio Code no está protegido contra las extensiones maliciosas, esto lo demuestra
Cuando trabajamos con cualquier tipo de software, ya sea el sistema operativo, el navegador o cualquier otro programa, la seguridad juega un papel clave. Incluso al utilizar aplicaciones relacionadas con la programación, debemos tomar ciertas precauciones, como ahora sucede con Visual Studio Code.
Os contamos todo esto porque recientemente se ha descubierto que la seguridad de este popular IDE de Microsoft no es todo lo buena que debería. Se acaban de descubrir una buena cantidad de extensiones maliciosas de VSCode con millones de instalaciones en estos momentos. De manera paralela se ha visto que las medidas de seguridad tomadas por el gigante del software en este proyecto dejan mucho que desear.
Esto se debe a que un grupo de investigadores ha estudiado la seguridad del mercado de Visual Studio Code. De manera sencilla y a modo de prueba han logrado infectar a más de 100 empresas con una copia a modo de troyano de una popular extensión para Visual Studio Code.
A su vez, investigaciones posteriores del mercado de VSCode, encontraron miles de extensiones maliciosas con millones de instalaciones. Ya sabréis que Visual Studio Code o VSCode, es un editor de código fuente de Microsoft utilizado por muchos desarrolladores de todo el mundo. La empresa además gestiona un mercado de extensiones para el IDE llamado Visual Studio Code Marketplace.
Aquí encontramos complementos que amplían la funcionalidad de la aplicación y proporcionan opciones de personalización. Pero la seguridad de estos complementos no es la esperada, como demuestra la prueba realizada por los mencionados investigadores. De hecho, hay informes que ponen de manifiesto importantes lagunas en la seguridad en VSCode.
De este modo, permiten la suplantación de extensiones y editores que roban tokens de autenticación de los desarrolladores.
Así se ha demostrado la vulnerabilidad de VSCode
Para su experimento, los investigadores crearon una extensión que en realidad es una copia del tema Drácula Oficial. Este es un popular esquema de colores para varias aplicaciones que tiene más de 7 millones de instalaciones en VSCode Marketplace. Drácula es un complemento utilizado por un gran número de desarrolladores por su modo oscuro visualmente atractivo y su paleta de colores de alto contraste. Esto es muy útil para evitar la fatiga visual durante largas sesiones de codificación.
Pues bien, estos investigadores han lanzado al mercado de VSCode una extensión falsa llamada Darcula. Incluso registraron un dominio que se utilizó para convertirse en un editor verificado en VSCode Marketplace. Esto añadió credibilidad a la extensión falsa.
La extensión utiliza el código real del tema legítimo, pero también incluye un script que recopila información del sistema. Una vez lanzada al mercado de Visual Studio Code, descubrieron que el código malicioso no fue detectado por las herramientas de detección y respuesta de VSCode. Así, la extensión no tardó en ganar adeptos, instalándose en múltiples equipos de grandes empresas, entre otros.
Como no podía ser de otro modo, los investigadores han optado por no revelar los nombres de las empresas afectadas. Además, hay que saber que el experimento no tenía intenciones maliciosas, tan solo se llevó a cabo para demostrar la inseguridad del mercado del IDE.
Después de investigar, encontraron casi 1300 extensiones con código malicioso y con cientos de millones de instalaciones. De este modo, llegaron a la conclusión de que la falta de controles y mecanismos de revisión de código por parte de Microsoft en VSCode Marketplace, permite a los actores maliciosos llevar a cabo un abuso de la plataforma. De hecho, este tipo de malos usos está creciendo y Microsoft debería tomar cartas en el asunto.