Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos pueden abusar de Visual Studio Marketplace para atacar a los desarrolladores con extensiones maliciosas
  • Tecnología

Los piratas informáticos pueden abusar de Visual Studio Marketplace para atacar a los desarrolladores con extensiones maliciosas

teknomers 10 de Ocak de 2023 (Last updated: 10 de Ocak de 2023) 3 minutes read
Los piratas informáticos pueden abusar de Visual Studio Marketplace para


09 de enero de 2023Ravie LakshmanánCadena de Suministro / CodeSec

Se podría aprovechar un nuevo vector de ataque dirigido al mercado de extensiones de Visual Studio Code para cargar extensiones no autorizadas que se hacen pasar por sus contrapartes legítimas con el objetivo de montar ataques a la cadena de suministro.

La técnica “podría actuar como un punto de entrada para un ataque a muchas organizaciones”, dijo el investigador de seguridad de Aqua, Ilay Goldman. dicho en un informe publicado la semana pasada.

Extensiones de VS Code, seleccionadas a través de un mercado puestos a disposición por Microsoft, permiten a los desarrolladores agregar lenguajes de programación, depuradores y herramientas al editor de código fuente de VS Code para aumentar sus flujos de trabajo.

“Todas las extensiones se ejecutan con los privilegios del usuario que ha abierto VS Code sin ninguna zona de pruebas”, dijo Goldman, explicando los riesgos potenciales de usar extensiones de VS Code. “Esto significa que la extensión puede instalar cualquier programa en su computadora, incluidos ransomwares, limpiaparabrisas y más”.

Con ese fin, Aqua descubrió que no solo es posible que un actor de amenazas se haga pasar por una extensión popular con pequeñas variaciones en la URL, el mercado también permite que el adversario use el mismo nombre y los detalles del editor de la extensión, incluida la información del repositorio del proyecto.

Si bien el método no permite replicar la cantidad de instalaciones y la cantidad de estrellas, el hecho de que no haya restricciones en las otras características de identificación significa que podría usarse para engañar a los desarrolladores.

La investigación también descubrió que la insignia de verificación asignada a los autores podría pasarse por alto trivialmente, ya que la marca de verificación solo prueba que el editor de la extensión es el propietario real de un dominio.

En otras palabras, un actor malicioso podría comprar cualquier dominio, registrarlo para obtener una marca de verificación verificada y, en última instancia, cargar una extensión troyana con el mismo nombre que la legítima en el mercado.

Una extensión de prueba de concepto (PoC) que se hace pasar por el más bonita La utilidad de formato de código acumuló más de 1000 instalaciones en 48 horas por parte de desarrolladores de todo el mundo, dijo Aqua. desde entonces ha sido derribados.

Esta no es la primera vez que se plantean preocupaciones sobre las amenazas de la cadena de suministro de software en el mercado de extensiones de VS Code.

En mayo de 2021, la empresa de seguridad empresarial Snyk descubrió una serie de fallas de seguridad en las extensiones populares de VS Code con millones de descargas que podrían haber sido objeto de abuso por parte de los actores de amenazas para comprometer los entornos de los desarrolladores.

“Los atacantes trabajan constantemente para expandir su arsenal de técnicas que les permitan ejecutar códigos maliciosos dentro de la red de organizaciones”, dijo Goldman.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Hellas Verona Cremonese: 2-0 (RESUMEN DEL PARTIDO)
Next: Las ventas de automóviles Rolls-Royce alcanzan un récord de 119 años a medida que EE. UU. impulsa la demanda

Related Stories

Con esta nueva función sencilla, Opera quiere protegerte de sitios
  • Tecnología

Con esta nueva función sencilla, Opera quiere protegerte de sitios peligrosos.

teknomers 2 de Temmuz de 2026
Monopolio Android: Google enfrentará una multa de 4,1 mil millones
  • Tecnología

Monopolio Android: Google enfrentará una multa de 4,1 mil millones de euros

teknomers 2 de Temmuz de 2026
Galaxy Z Fold8: una nueva filtración revela su diseño amplio
  • Tecnología

Galaxy Z Fold8: una nueva filtración revela su diseño amplio en negro

teknomers 2 de Temmuz de 2026

You May Have Missed

  • General

Las naciones europeas ahora consideran que algunas tarifas de Hormuz son inevitables

teknomers 2 de Temmuz de 2026
  • General

Siria: un atentado con bomba en el centro de Damasco deja cinco muertos

teknomers 2 de Temmuz de 2026
  • General

Mercado de valores de EE. UU. bancos USPS Nasdaq festivos: ¿Está abierto el mercado de valores de EE. UU. el 3 de julio? Esto es lo que sucede con los bancos, USPS, NYSE y Nasdaq antes del Día de la Independencia

teknomers 2 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Arthur Fery avanza a la tercera ronda para mantener vivas las esperanzas británicas, pero Katie Swan queda eliminada.

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.