- Descubiertas 9 extensiones maliciosas en el Marketplace de VSCode
- El malware instala un criptominero XMRig que mina en segundo plano
- Las extensiones aparentaban ser herramientas legítimas de desarrollo
- Microsoft aún no ha retirado todas las extensiones dañinas
Visual Studio Code, o simplemente VSCode, se ha convertido en una de las herramientas favoritas para programadores de todo el mundo. Su versatilidad y la posibilidad de añadir funcionalidades mediante extensiones lo hacen especialmente atractivo. Pero precisamente esa apertura se ha convertido en una puerta de entrada para amenazas informáticas que se están aprovechando de la confianza de los usuarios.
Durante los últimos días, han salido a la luz nueve extensiones en el Marketplace oficial de VSCode que ocultan código malicioso. Aunque en apariencia son utilidades legítimas dirigidas a mejorar la experiencia de desarrollo, en realidad infectan los sistemas con un software criptominero diseñado para aprovechar los recursos del equipo de forma oculta. Este descubrimiento ha generado preocupación entre la comunidad de desarrolladores y pone sobre la mesa la necesidad de una supervisión más estricta en este tipo de plataformas.
Extensiones comprometidas en el Marketplace de VSCode
El hallazgo fue realizado por Yuval Ronen, investigador de la plataforma ExtensionTotal, quien detectó que una serie de extensiones disponibles en el portal de Microsoft para VSCode activaban un código oculto tras ser instaladas. Este código permitía ejecutar un script de PowerShell que descargaba e instalaba en segundo plano el criptominero XMRig, utilizado en operaciones ilegales de minería de criptomonedas como Monero y Ethereum.
Los paquetes afectados fueron publicados el 4 de abril de 2025, y ya se encontraban disponibles para ser instalados por cualquier usuario sin ninguna restricción. Las extensiones se presentaban como herramientas útiles, algunas relacionadas con compiladores de lenguaje y otras con inteligencia artificial o utilidades para desarrolladores. A continuación, la lista completa de las extensiones reportadas:
- Discord Rich Presence for VSCode – por Mark H
- Rojo – Roblox Studio Sync – por evaera
- Solidity Compiler – por VSCode Developer
- Claude AI – por Mark H
- Golang Compiler – por Mark H
- ChatGPT Agent for VSCode – por Mark H
- HTML Obfuscator – por Mark H
- Python Obfuscator – por Mark H
- Rust Compiler for VSCode – por Mark H
Cabe destacar que algunas de estas extensiones presentaban cantidades de descargas sorprendentemente altas; por ejemplo, “Discord Rich Presence” mostraba más de 189.000 instalaciones, mientras que “Rojo – Roblox Studio Sync” tenía unas 117.000. Muchos expertos en ciberseguridad han apuntado a que estas cifras podrían haber sido infladas artificialmente para generar una apariencia de popularidad y atraer a más usuarios desprevenidos.
Hasta el momento de los informes públicos, las extensiones continuaban disponibles en el Marketplace, lo que generó críticas hacia Microsoft por su falta de respuesta inmediata ante las alertas de seguridad. El hecho de que se tratara de instalaciones desde una fuente oficial hace el problema aún más delicado.
Cómo funciona el ataque: técnicas empleadas por las extensiones maliciosas
El proceso de infección comienza justo tras la instalación de la extensión. En ese momento, se ejecuta un script PowerShell que se descarga desde una dirección externa: https://asdfqq(.)xyz. Posteriormente, este script es el encargado de realizar varias acciones encubiertas que permiten anidar el minero dentro del equipo afectado.
Una de las primeras cosas que realiza el script es instalar la extensión verdadera que la maliciosa pretendía suplantar. Con esto pretende evitar sospechas por parte del usuario que pudiera notar alguna diferencia en la funcionalidad. Mientras tanto, el código continúa ejecutándose en segundo plano para deshabilitar medidas de protección y preparar el terreno para que el criptominero actúe sin ser detectado.
Entre las acciones más destacadas del script están:
- Creación de tareas programadas disfrazadas con nombres legítimos como “OnedriveStartup”.
- Inserción de comandos maliciosos en el registro del sistema operativo, garantizando su persistencia tras reinicios.
- Desactivación de servicios básicos de seguridad, incluyendo Windows Update y Windows Medic.
- Inclusión del directorio del minero en la lista de exclusión de Windows Defender.
Además, si el ataque no consigue privilegios de administrador en el momento de la ejecución, emplea una técnica conocida como “secuestro de DLL” mediante un archivo falso MLANG.dll. Esta táctica permite ejecutar un binario malicioso imitando un ejecutable legítimo del sistema como ComputerDefaults.exe, lo que le otorga el nivel de permisos necesarios para completar la instalación del minero.
Una vez que el sistema queda comprometido, comienza una operación de minería silenciosa de criptomonedas que consume recursos de CPU sin que el usuario lo detecte fácilmente. Se ha confirmado que el servidor remoto también alberga directorios como “/npm/”, lo cual genera sospechas de que esta campaña podría estar ampliándose a otros portales como NPM. Aunque, hasta el momento, no se han encontrado evidencias concretas en esa plataforma.
Qué hacer si has instalado alguna de estas extensiones
Si tú, o alguien de tu equipo, habéis instalado cualquiera de las extensiones sospechosas, es prioritario eliminarlas del entorno de trabajo. No basta con desinstalarlas desde el editor, ya que muchas de las acciones realizadas por el script son persistentes y se mantienen incluso después de quitar la extensión.
Lo más recomendable es realizar los siguientes pasos:
- Eliminar manualmente las tareas programadas como “OnedriveStartup”.
- Borrar entradas sospechosas en el registro de Windows relacionadas con el malware.
- Revisar y limpiar los directorios afectados, especialmente aquellos añadidos a la lista de exclusión.
- Realizar un análisis completo con herramientas antivirus actualizadas y considerar el uso de soluciones avanzadas que detecten comportamiento anómalo.
Y sobre todo, actuar con rapidez: si bien el daño principal es el uso no autorizado de recursos del sistema (consumo elevado, lentitud, sobrecalentamiento…), no se descarta que los atacantes puedan haber abierto otras puertas traseras.
Este episodio ha puesto de manifiesto lo fácil que es explotar la confianza en los entornos de desarrollo, incluso en plataformas tan consolidadas como el Marketplace oficial de VSCode. Por tanto, se recomienda a los usuarios que revisen cuidadosamente la procedencia de cualquier extensión antes de instalarla, prioricen aquellas con base de usuarios verificada y eviten nuevos paquetes de desarrolladores desconocidos. La proliferación de este tipo de campañas maliciosas demuestra una realidad preocupante: los entornos de desarrollo, antes considerados seguros por defecto, también pueden convertirse en vectores de ataque si no se aplican protocolos sólidos de validación y supervisión. Por ahora, la responsabilidad recae tanto en los proveedores de plataformas como en los propios desarrolladores, que deben mantenerse siempre alerta.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.