Extensiones maliciosas en VSCode: un nuevo vector de ataque para instalar criptomineros en Windows

Última actualización: 08/04/2025

  • Descubiertas 9 extensiones maliciosas en el Marketplace de VSCode
  • El malware instala un criptominero XMRig que mina en segundo plano
  • Las extensiones aparentaban ser herramientas legítimas de desarrollo
  • Microsoft aún no ha retirado todas las extensiones dañinas

Visual Studio Code, o simplemente VSCode, se ha convertido en una de las herramientas favoritas para programadores de todo el mundo. Su versatilidad y la posibilidad de añadir funcionalidades mediante extensiones lo hacen especialmente atractivo. Pero precisamente esa apertura se ha convertido en una puerta de entrada para amenazas informáticas que se están aprovechando de la confianza de los usuarios.

Durante los últimos días, han salido a la luz nueve extensiones en el Marketplace oficial de VSCode que ocultan código malicioso. Aunque en apariencia son utilidades legítimas dirigidas a mejorar la experiencia de desarrollo, en realidad infectan los sistemas con un software criptominero diseñado para aprovechar los recursos del equipo de forma oculta. Este descubrimiento ha generado preocupación entre la comunidad de desarrolladores y pone sobre la mesa la necesidad de una supervisión más estricta en este tipo de plataformas.

Extensiones comprometidas en el Marketplace de VSCode

extensiones vscode con malware

El hallazgo fue realizado por Yuval Ronen, investigador de la plataforma ExtensionTotal, quien detectó que una serie de extensiones disponibles en el portal de Microsoft para VSCode activaban un código oculto tras ser instaladas. Este código permitía ejecutar un script de PowerShell que descargaba e instalaba en segundo plano el criptominero XMRig, utilizado en operaciones ilegales de minería de criptomonedas como Monero y Ethereum.

Los paquetes afectados fueron publicados el 4 de abril de 2025, y ya se encontraban disponibles para ser instalados por cualquier usuario sin ninguna restricción. Las extensiones se presentaban como herramientas útiles, algunas relacionadas con compiladores de lenguaje y otras con inteligencia artificial o utilidades para desarrolladores. A continuación, la lista completa de las extensiones reportadas:

  • Discord Rich Presence for VSCode – por Mark H
  • Rojo – Roblox Studio Sync – por evaera
  • Solidity Compiler – por VSCode Developer
  • Claude AI – por Mark H
  • Golang Compiler – por Mark H
  • ChatGPT Agent for VSCode – por Mark H
  • HTML Obfuscator – por Mark H
  • Python Obfuscator – por Mark H
  • Rust Compiler for VSCode – por Mark H
Contenido exclusivo - Clic Aquí  Cómo cifrar una red inalámbrica

Cabe destacar que algunas de estas extensiones presentaban cantidades de descargas sorprendentemente altas; por ejemplo, “Discord Rich Presence” mostraba más de 189.000 instalaciones, mientras que “Rojo – Roblox Studio Sync” tenía unas 117.000. Muchos expertos en ciberseguridad han apuntado a que estas cifras podrían haber sido infladas artificialmente para generar una apariencia de popularidad y atraer a más usuarios desprevenidos.

Hasta el momento de los informes públicos, las extensiones continuaban disponibles en el Marketplace, lo que generó críticas hacia Microsoft por su falta de respuesta inmediata ante las alertas de seguridad. El hecho de que se tratara de instalaciones desde una fuente oficial hace el problema aún más delicado.

Cómo funciona el ataque: técnicas empleadas por las extensiones maliciosas

script malicioso vscode

El proceso de infección comienza justo tras la instalación de la extensión. En ese momento, se ejecuta un script PowerShell que se descarga desde una dirección externa: https://asdfqq(.)xyz. Posteriormente, este script es el encargado de realizar varias acciones encubiertas que permiten anidar el minero dentro del equipo afectado.

Contenido exclusivo - Clic Aquí  ¿Debo cambiar mis contraseñas cada vez que uso LastPass?

Una de las primeras cosas que realiza el script es instalar la extensión verdadera que la maliciosa pretendía suplantar. Con esto pretende evitar sospechas por parte del usuario que pudiera notar alguna diferencia en la funcionalidad. Mientras tanto, el código continúa ejecutándose en segundo plano para deshabilitar medidas de protección y preparar el terreno para que el criptominero actúe sin ser detectado.

Entre las acciones más destacadas del script están:

  • Creación de tareas programadas disfrazadas con nombres legítimos como “OnedriveStartup”.
  • Inserción de comandos maliciosos en el registro del sistema operativo, garantizando su persistencia tras reinicios.
  • Desactivación de servicios básicos de seguridad, incluyendo Windows Update y Windows Medic.
  • Inclusión del directorio del minero en la lista de exclusión de Windows Defender.

Además, si el ataque no consigue privilegios de administrador en el momento de la ejecución, emplea una técnica conocida como “secuestro de DLL” mediante un archivo falso MLANG.dll. Esta táctica permite ejecutar un binario malicioso imitando un ejecutable legítimo del sistema como ComputerDefaults.exe, lo que le otorga el nivel de permisos necesarios para completar la instalación del minero.

Una vez que el sistema queda comprometido, comienza una operación de minería silenciosa de criptomonedas que consume recursos de CPU sin que el usuario lo detecte fácilmente. Se ha confirmado que el servidor remoto también alberga directorios como “/npm/”, lo cual genera sospechas de que esta campaña podría estar ampliándose a otros portales como NPM. Aunque, hasta el momento, no se han encontrado evidencias concretas en esa plataforma.

Qué hacer si has instalado alguna de estas extensiones

Si tú, o alguien de tu equipo, habéis instalado cualquiera de las extensiones sospechosas, es prioritario eliminarlas del entorno de trabajo. No basta con desinstalarlas desde el editor, ya que muchas de las acciones realizadas por el script son persistentes y se mantienen incluso después de quitar la extensión.

Contenido exclusivo - Clic Aquí  Cómo ganar Bitcoins

Lo más recomendable es realizar los siguientes pasos:

  • Eliminar manualmente las tareas programadas como “OnedriveStartup”.
  • Borrar entradas sospechosas en el registro de Windows relacionadas con el malware.
  • Revisar y limpiar los directorios afectados, especialmente aquellos añadidos a la lista de exclusión.
  • Realizar un análisis completo con herramientas antivirus actualizadas y considerar el uso de soluciones avanzadas que detecten comportamiento anómalo.

Y sobre todo, actuar con rapidez: si bien el daño principal es el uso no autorizado de recursos del sistema (consumo elevado, lentitud, sobrecalentamiento…), no se descarta que los atacantes puedan haber abierto otras puertas traseras.

Este episodio ha puesto de manifiesto lo fácil que es explotar la confianza en los entornos de desarrollo, incluso en plataformas tan consolidadas como el Marketplace oficial de VSCode. Por tanto, se recomienda a los usuarios que revisen cuidadosamente la procedencia de cualquier extensión antes de instalarla, prioricen aquellas con base de usuarios verificada y eviten nuevos paquetes de desarrolladores desconocidos. La proliferación de este tipo de campañas maliciosas demuestra una realidad preocupante: los entornos de desarrollo, antes considerados seguros por defecto, también pueden convertirse en vectores de ataque si no se aplican protocolos sólidos de validación y supervisión. Por ahora, la responsabilidad recae tanto en los proveedores de plataformas como en los propios desarrolladores, que deben mantenerse siempre alerta.

Deja un comentario