Un icono atractivo resultó ser un señuelo: un desarrollador de Ethereum perdió todo con un solo clic

El grupo de hackers WhiteCobra lanzó un ataque a gran escala contra usuarios de los populares editores de código VS Code, Cursor y Windsurf. Investigadores de la empresa Koi Security descubrieron 24 extensiones maliciosas, alojadas en los repositorios oficiales Visual Studio Marketplace y Open VSX. A pesar de que parte de ellas fue eliminada, los atacantes siguen subiendo nuevas versiones, manteniendo la campaña activa.

Uno de los afectados fue el desarrollador de Ethereum Zak Cole, cuyo monedero de criptomonedas fue vaciado tras instalar la extensión contractshark.solidity-lang para el editor Cursor. La extensión parecía totalmente verosímil: tenía un icono de aspecto profesional, una descripción detallada y decenas de miles de descargas.

Ese tipo de camuflaje permitió a WhiteCobra atraer la atención de un gran número de usuarios. Además, el mismo grupo ya había sido detectado en un episodio de julio en el que robaron criptomonedas por un valor de alrededor de medio millón de dólares, cuando distribuyeron una extensión falsa para Cursor.

El ataque explota una vulnerabilidad en el propio ecosistema: el formato de paquetes VSIX se usa en varios editores, y la verificación de las extensiones subidas sigue siendo mínima. Esto permite a los atacantes adaptar y escalar la campaña con rapidez.

Koi Security señala que cada una de las extensiones creadas imita proyectos legítimos, copiando nombres y descripciones. En la lista de paquetes falsos detectados figuran ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum y muchos otros. Se podían encontrar tanto en Open-VSX como en el VS Code Marketplace.

Técnicamente, las extensiones maliciosas son bastante sencillas. El archivo principal extension.js reproduce casi por completo la plantilla «Hello World», pero contiene una llamada oculta a otro script — prompt.js. Este, a su vez, descarga la carga útil desde servidores de Cloudflare Pages. Para Windows se incluye un script de PowerShell que ejecuta código Python e inyecta shellcode, tras lo cual se activa LummaStealer — un troyano conocido para el robo de datos. Está dirigido a monederos de criptomonedas, extensiones de navegador, contraseñas guardadas y conversaciones en mensajeros. En macOS se utiliza un archivo binario Mach-O para ARM e Intel que descarga otro programa malicioso aún no clasificado.

Los expertos obtuvieron un playbook interno de WhiteCobra, en el que se describen detalladamente los objetivos financieros de las campañas, los métodos para promocionar extensiones fraudulentas y las instrucciones para desplegar la infraestructura de comando y control. Según esos datos, el grupo actúa de forma organizada y puede lanzar nuevas oleadas de ataques en apenas tres horas después de que se bloquee la anterior. En los documentos aparecen cantidades de entre 10.000 y medio millón de dólares que los delincuentes planean obtener por una sola serie de operaciones.

Los especialistas subrayan que indicadores habituales como el número de descargas, las reseñas positivas y la puntuación ya no son un indicador fiable de seguridad. Esos valores se pueden manipular fácilmente, y los proyectos falsos con frecuencia copian los nombres de desarrolladores u organizaciones conocidas. Por ello se recomienda revisar detenidamente las extensiones antes de instalarlas, prestar atención a coincidencias sospechosas en los nombres y desconfiar de proyectos que en poco tiempo han acumulado decenas de miles de descargas.

WhiteCobra ha demostrado claramente las debilidades del ecosistema de VS Code y editores compatibles, donde la falta de moderación estricta permite introducir extensiones maliciosas disfrazadas de herramientas populares. Para los usuarios, esto implica la necesidad de mayor precaución, ya que incluso la herramienta de trabajo habitual puede convertirse en un canal para el robo de criptomonedas y credenciales.