Los desarrolladores de IDE aseguran: «No hay peligro». Pero el virus ya está dentro, esperando tu clic
Las extensiones «verificadas» de IDE han aprendido a hackear el sistema.
Una investigación realizada por los especialistas de la empresa OX Security demostró lo fácil que resulta para las extensiones maliciosas eludir el sistema de verificación de confianza y ejecutar código arbitrario en los ordenadores de los desarrolladores. Los expertos analizaron la seguridad de los entornos de desarrollo integrados (IDE) más populares, incluidos Visual Studio Code, Visual Studio, IntelliJ IDEA y Cursor, y detectaron vulnerabilidades críticas en el proceso de verificación de extensiones.
Los IDE modernos se han convertido desde hace tiempo en herramientas imprescindibles para los programadores. Además de las funciones estándar, permiten ampliar las posibilidades mediante complementos de terceros que se pueden instalar tanto desde las tiendas oficiales como desde fuentes externas. Sin embargo, precisamente este enfoque, según revelaron los especialistas, crea condiciones favorables para los atacantes.
Como parte de la investigación, se crearon extensiones especiales para tres IDE populares: Visual Studio Code, Visual Studio e IntelliJ IDEA. Todas parecían completamente verificadas, con empaquetado original, número de descargas, calificación de los usuarios y el distintivo azul de «verificado». Sin embargo, en su interior contenían código malicioso capaz de ejecutar comandos del sistema operativo, incluido el lanzamiento de la calculadora como demostración.
En el caso de Visual Studio Code, uno de los editores de código más populares de Microsoft, los investigadores demostraron que las verificaciones de confianza de las extensiones tienen fallos graves. Descubrieron que el icono de verificación del editor se genera en función de las solicitudes al servidor oficial marketplace.visualstudio.com. Mediante el análisis del tráfico de red, los especialistas identificaron qué parámetros afectan a la visualización del estado de verificación.
Como resultado, lograron modificar los parámetros dentro de la extensión manteniendo su apariencia «oficial». Los atacantes pueden compilar un archivo de extensión en formato VSIX y distribuirlo, por ejemplo, a través de GitHub. Tras la instalación, la extensión parece completamente confiable, aunque puede contener código malicioso arbitrario.
Tras el éxito con Visual Studio Code, los especialistas realizaron pruebas similares para otras plataformas: Visual Studio, IntelliJ IDEA y Cursor. A pesar de las diferencias en la arquitectura y los métodos de verificación, la esencia del ataque seguía siendo la misma: la posibilidad de manipular los parámetros clave de la extensión, lo que permitía conservar el estado de «verificado» incluso con funcionalidad maliciosa.
La principal amenaza radica en que este tipo de extensiones pueden distribuirse fuera de los marketplaces oficiales, mediante archivos VSIX o ZIP. El usuario puede instalarlas manualmente sin sospechar el contenido real. Están especialmente en riesgo aquellos que descargan complementos de recursos poco conocidos o confían en archivos encontrados en internet.
Durante las pruebas se descubrió que los mecanismos de protección actuales de los IDE populares no garantizan una verificación confiable durante la instalación de extensiones. Los especialistas de OX Security subrayan que no se debe confiar únicamente en el icono de verificación o en la reputación de la extensión. Incluso con el distintivo azul, un complemento puede ser malicioso.
Como medida de precaución, se recomienda a los equipos de desarrollo instalar extensiones solo de fuentes oficiales y evitar archivos distribuidos a través de recursos de terceros. Los expertos recomiendan a los fabricantes de IDE implementar una verificación de firmas en varias etapas, validar la fuente de instalación, comprobar las sumas hash de todos los archivos dentro de la extensión y utilizar una correcta fijación de certificados para una conexión segura.
También se insta a los propios desarrolladores de extensiones a realizar una verificación más exhaustiva de la integridad de las firmas e implementar mecanismos de protección contra manipulaciones.
Microsoft, propietaria de Visual Studio y Visual Studio Code, declaró que la arquitectura actual del sistema de verificación funciona «como estaba previsto» y que la vulnerabilidad no se considera grave. Según la empresa, es imposible publicar este tipo de extensión en la tienda oficial, y el mecanismo de verificación de firmas ahora está habilitado por defecto. Sin embargo, los ataques mediante «sideloading» (instalación desde fuentes externas) siguen siendo una amenaza real.
JetBrains, desarrolladora de IntelliJ IDEA, confirmó que al instalar manualmente complementos desde archivos ZIP, el IDE advierte al usuario sobre los riesgos y la responsabilidad de instalar código de fuentes no confiables.
La empresa Cursor declaró que no implementa la verificación de firmas de las extensiones y recordó que incluso Visual Studio Code solo verifica las firmas durante la instalación, pero no de forma continua.
El problema sigue siendo actual: incluso después de la publicación del informe, los especialistas de OX Security confirmaron el 29 de junio de 2025 que las vulnerabilidades detectadas todavía pueden ser explotadas.