Los investigadores de ciberseguridad han descubierto dos extensiones maliciosas de Microsoft Visual Studio Code (VS Code) que se anuncian como asistentes de codificación impulsados por inteligencia artificial (IA), pero que también albergan una funcionalidad encubierta para desviar datos de desarrolladores a servidores con sede en China.
Las extensiones, que tienen 1,5 millones de instalaciones combinadas y todavía están disponibles para descargar desde el sitio oficial. Mercado de Visual Studiose enumeran a continuación:
- ChatGPT – 中文版 (ID: whensunset.chatgpt-china) – 1.340.869 instalaciones
- ChatGPT – ChatMoss(CodeMoss)(ID: zhukunpeng.chat-moss) – 151,751 instalaciones
Koi Security dijo que las extensiones son funcionales y funcionan como se esperaba, pero también capturan cada archivo que se abre y cada modificación del código fuente en servidores ubicados en China sin el conocimiento o consentimiento de los usuarios. La campaña ha recibido el nombre en código MaliciousCorgi.
«Ambos contienen código malicioso idéntico: la misma infraestructura de software espía ejecutándose bajo diferentes nombres de editores», dijo el investigador de seguridad Tuval Admoni.
Lo que hace que la actividad sea particularmente peligrosa es que las extensiones funcionan exactamente como se anuncia, proporcionando sugerencias de autocompletar y explicando errores de codificación, evitando así generar señales de alerta y disminuyendo las sospechas de los usuarios.
Al mismo tiempo, el código malicioso incorporado está diseñado para leer todo el contenido de cada archivo que se abre, codificarlo en formato Base64 y enviarlo a un servidor ubicado en China («aihao123[.]cn»). El proceso se activa para cada edición.
Las extensiones también incorporan una función de monitoreo en tiempo real que el servidor puede activar de forma remota, lo que provoca que se exfiltren hasta 50 archivos en el espacio de trabajo. También está presente en la vista web de la extensión un iframe oculto de cero píxeles que carga cuatro kits de desarrollo de software de análisis (SDK) comerciales para tomar huellas dactilares de los dispositivos y crear perfiles de usuario extensos.
Los cuatro SDK utilizados son Zhuge.io, GrowingIO, TalkingData y Baidu Analytics, todas las cuales son importantes plataformas de análisis de datos con sede en China.
Los defectos de PackageGate afectan a los administradores de paquetes de JavaScript
La divulgación se produce cuando la empresa de seguridad de la cadena de suministro lo dijo. identificado Seis vulnerabilidades de día cero en administradores de paquetes de JavaScript como npm, pnpm, vlt y Bun que podrían explotarse para anular los controles de seguridad implementados para omitir la ejecución automática de scripts del ciclo de vida durante la instalación del paquete. Las fallas se denominaron colectivamente PackageGate.
Defensas como deshabilitar los scripts del ciclo de vida («–ignore-scripts») y confirmar archivos de bloqueo («package-lock.json») se han convertido en mecanismos cruciales para enfrentar ataques a la cadena de suministroespecialmente después de Shai Huludque aprovecha los scripts posteriores a la instalación para propagarse como un gusano para secuestrar tokens npm y publicar versiones maliciosas de los paquetes en el registro.
Sin embargo, Koi descubrió que es posible evitar la ejecución de scripts y las comprobaciones de integridad de archivos de bloqueo en los cuatro administradores de paquetes. Tras una divulgación responsable, los problemas se abordaron en pnpm (versión 10.26.0), vlt (versión 1.0.0-rc.10), y Bollo (versión 1.3.5). Pnpm está rastreando las dos vulnerabilidades como CVE-2025-69264 (Puntuación CVSS: 8,8) y CVE-2025-69263 (Puntuación CVSS: 7,5).
Npm, sin embargo, optó por no solucionar la vulnerabilidad, afirmando que «los usuarios son responsables de examinar el contenido de los paquetes que deciden instalar». Cuando se le contactó para hacer comentarios, un portavoz de GitHub le dijo a The Hacker News que está trabajando activamente para abordar el nuevo problema mientras npm busca activamente malware en el registro.
«Si un paquete que se instala a través de git contiene un script de preparación, se instalarán sus dependencias y devDependencies. Como compartimos cuando se presentó el ticket, este es un diseño intencional y funciona como se esperaba», dijo la compañía. «Cuando los usuarios instalan una dependencia de git, confían en todo el contenido de ese repositorio, incluidos sus archivos de configuración».
La filial propiedad de Microsoft también ha instado a proyectos a adoptar publicaciones confiables y tokens de acceso granular con autenticación de dos factores (2FA) obligatoria para proteger la cadena de suministro de software. A partir de septiembre de 2025, GitHub tiene obsoleto tokens clásicos heredados, tokens granulares limitados con permisos de publicación a un vencimiento más corto y se eliminó la opción de omitir 2FA para la publicación de paquetes locales.
«Aún vale la pena seguir el consejo estándar, deshabilitar los scripts y confirmar los archivos de bloqueo», dijo el investigador de seguridad Oren Yomtov. «Pero no es el panorama completo. Hasta que PackageGate se aborde por completo, las organizaciones deben tomar sus propias decisiones informadas sobre el riesgo».
(La historia se actualizó después de la publicación para incluir una respuesta de GitHub).
Fuente