17.000 descargas y ninguna reacción: ¿por qué siguen disponibles las extensiones maliciosas en el catálogo de OpenVSX?

Algunas extensiones para Visual Studio Code, distribuidas a través del repositorio abierto OpenVSX, aún contienen código malicioso destinado a robar criptomonedas y comprometer los equipos de desarrolladores. Detrás de la distribución está el grupo TigerJack, que usa cuentas falsas y disfraza sus herramientas como complementos legítimos con descripciones completas, repositorios en GitHub y un branding cuidado.

En la plataforma OpenVSX siguen disponibles dos extensiones maliciosas, previamente eliminadas de la tienda oficial de Microsoft después de que se descargaran en total más de 17 000 veces. Al mismo tiempo, esos mismos complementos ya fueron subidos de nuevo a Visual Studio Code con nombres distintos, lo que indica el carácter sistemático del ataque. Todo este conjunto de herramientas maliciosas está dirigido principalmente a los usuarios de editores compatibles con VSCode que no usan la tienda original de Microsoft, como Cursor y Windsurf.

Los especialistas de Koi Security comprobaron que la extensión «C++ Playground» tras instalarse empieza a vigilar la edición de los fuentes, registrando cada cambio en archivos C++ mediante el manejador onDidChangeTextDocument. Con un intervalo de aproximadamente medio segundo envía el texto actualizado a servidores externos, lo que permite a los atacantes interceptar el código en tiempo real.

La segunda extensión —«HTTP Format»— funciona aparentemente de forma normal, pero al mismo tiempo ejecuta un programa de minado oculto CoinIMP. Este usa configuraciones y credenciales codificadas, sin limitar el consumo de recursos: el malware carga la CPU al máximo para la extracción ilegal de criptomonedas.

Otra categoría de complementos maliciosos, incluyendo cppplayground, httpformat y pythonformat, se conecta cada 20 minutos a la dirección remota ab498.pythonanywhere.com/static/in4.js y ejecuta el código JavaScript descargado desde ese servidor. Ese mecanismo permite a los atacantes transmitir dinámicamente cualquier carga útil sin necesidad de actualizar la propia extensión.

Esto hace que el enfoque sea especialmente peligroso: con él no solo se pueden robar claves de acceso y credenciales, sino también desplegar un cifrador, insertar puertas traseras en un proyecto o usar la máquina del desarrollador como punto de entrada a la red interna de la empresa.

Según Koi Security, las acciones de TigerJack forman parte de una operación coordinada con múltiples cuentas. Todas las extensiones maliciosas se publican haciéndose pasar por distintos autores, cada uno supuestamente representante de un desarrollador fiable. Los perfiles publicados se acompañan de código abierto, descripciones detalladas de funciones y nombres parecidos a herramientas populares reales.

Todos los hallazgos ya fueron notificados a los administradores de OpenVSX; sin embargo, al momento de la publicación no se había recibido respuesta del equipo de soporte y los complementos maliciosos seguían estando disponibles públicamente.