La firma de seguridad Check Point ha descubierto una serie de extensiones con código malicioso dentro del propio Marketplace de VSCode, las cuales se centran en robar las contraseñas guardadas en el PC de los usuarios y, también, abrir terminales remotos para poder controlar los ordenadores de las víctimas de forma remota.
Estas extensiones han estado más de 10 días publicadas en la propia tienda de extensiones de este programa (concretamente del 4 de mayo al 14 de mayo), y en ese tiempo han sumado cerca de 50.000 descargas en total. De todas formas, aunque ya se han eliminado, los usuarios que las hayan descargado seguirán estando en peligro. Y tampoco se descarta que haya más extensiones maliciosas subidas en este Marketplace.
Las extensiones con malware que han estado publicadas en el store y poniendo en peligro la seguridad de los usuarios son:
- Theme Darcula dark: Una extensión que prometía mejorar la consistencia de color ‘Dracula’, muy usada por los programadores. Esta robaba la información básica del PC (CPU, plataforma, memoria, sistema…) y lo enviaba a un servidor remoto.
- python-vscode: Una extensión pensada para mejorar la compatibilidad del editor con Python, pero que en realidad oculta código ofuscado que permite a los atacantes ejecutar código y comandos en las máquinas de las víctimas.
- prettiest java: Extensión para mejorar el formato de código de Java que, en realidad, roba todas las contraseñas guardadas en Google Chrome, Edge, Firefox, y otros navegadores web, así como algunos programas (como Discord) que estén instalados en el ordenador.
Además de estas extensiones, que podrían ser las más peligrosas, Check Point también ha detectado otras extensiones que, aunque no tienen código tan peligroso, sí tienen código sospechoso que Microsoft no debería permitir en su Marketplace.
-¿Qué hago?
Lo primero es que, si no has instalado ninguna de estas extensiones, no te preocupes. Microsoft ya ha eliminado las tres extensiones que mencionamos, y ya no te puedes infectar con ellas. En caso de que sí hayas instalado algunas de ellas, en función de la extensión que sea, es necesario tomar unas u otras medidas. Por ejemplo, antes que nada, tendrás que eliminar la extensión de tu editor, analizar todo el sistema con un antivirus e intentar conocer el alcance del ataque informático. Por supuesto, si la extensión que has instalado ha sido la tercera, y han robado tus contraseñas, no queda otra que cambiarlas todas.
Y, para evitar volver a caer en este tipo de ataques informáticos, lo mejor es evitar siempre las extensiones nuevas, extrañas y subidas por usuarios sin recorrido. Busca siempre extensiones populares, usadas por miles de usuarios, y comprueba sus comentarios para estar seguro de que no caes en este tipo de problemas.