Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos pueden abusar de Visual Studio Marketplace para atacar a los desarrolladores con extensiones maliciosas
  • Tecnología

Los piratas informáticos pueden abusar de Visual Studio Marketplace para atacar a los desarrolladores con extensiones maliciosas

teknomers 10 de Ocak de 2023 (Last updated: 10 de Ocak de 2023) 3 minutes read
Los piratas informáticos pueden abusar de Visual Studio Marketplace para


09 de enero de 2023Ravie LakshmanánCadena de Suministro / CodeSec

Se podría aprovechar un nuevo vector de ataque dirigido al mercado de extensiones de Visual Studio Code para cargar extensiones no autorizadas que se hacen pasar por sus contrapartes legítimas con el objetivo de montar ataques a la cadena de suministro.

La técnica “podría actuar como un punto de entrada para un ataque a muchas organizaciones”, dijo el investigador de seguridad de Aqua, Ilay Goldman. dicho en un informe publicado la semana pasada.

Extensiones de VS Code, seleccionadas a través de un mercado puestos a disposición por Microsoft, permiten a los desarrolladores agregar lenguajes de programación, depuradores y herramientas al editor de código fuente de VS Code para aumentar sus flujos de trabajo.

“Todas las extensiones se ejecutan con los privilegios del usuario que ha abierto VS Code sin ninguna zona de pruebas”, dijo Goldman, explicando los riesgos potenciales de usar extensiones de VS Code. “Esto significa que la extensión puede instalar cualquier programa en su computadora, incluidos ransomwares, limpiaparabrisas y más”.

Con ese fin, Aqua descubrió que no solo es posible que un actor de amenazas se haga pasar por una extensión popular con pequeñas variaciones en la URL, el mercado también permite que el adversario use el mismo nombre y los detalles del editor de la extensión, incluida la información del repositorio del proyecto.

Si bien el método no permite replicar la cantidad de instalaciones y la cantidad de estrellas, el hecho de que no haya restricciones en las otras características de identificación significa que podría usarse para engañar a los desarrolladores.

La investigación también descubrió que la insignia de verificación asignada a los autores podría pasarse por alto trivialmente, ya que la marca de verificación solo prueba que el editor de la extensión es el propietario real de un dominio.

En otras palabras, un actor malicioso podría comprar cualquier dominio, registrarlo para obtener una marca de verificación verificada y, en última instancia, cargar una extensión troyana con el mismo nombre que la legítima en el mercado.

Una extensión de prueba de concepto (PoC) que se hace pasar por el más bonita La utilidad de formato de código acumuló más de 1000 instalaciones en 48 horas por parte de desarrolladores de todo el mundo, dijo Aqua. desde entonces ha sido derribados.

Esta no es la primera vez que se plantean preocupaciones sobre las amenazas de la cadena de suministro de software en el mercado de extensiones de VS Code.

En mayo de 2021, la empresa de seguridad empresarial Snyk descubrió una serie de fallas de seguridad en las extensiones populares de VS Code con millones de descargas que podrían haber sido objeto de abuso por parte de los actores de amenazas para comprometer los entornos de los desarrolladores.

“Los atacantes trabajan constantemente para expandir su arsenal de técnicas que les permitan ejecutar códigos maliciosos dentro de la red de organizaciones”, dijo Goldman.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Hellas Verona Cremonese: 2-0 (RESUMEN DEL PARTIDO)
Next: Las ventas de automóviles Rolls-Royce alcanzan un récord de 119 años a medida que EE. UU. impulsa la demanda

Related Stories

WhatsApp: aquí está el motivo por el que debes reservar
  • Tecnología

WhatsApp: aquí está el motivo por el que debes reservar tu nombre de usuario sin tardar

teknomers 2 de Temmuz de 2026
Con esta nueva función sencilla, Opera quiere protegerte de sitios
  • Tecnología

Con esta nueva función sencilla, Opera quiere protegerte de sitios peligrosos.

teknomers 2 de Temmuz de 2026
Monopolio Android: Google enfrentará una multa de 4,1 mil millones
  • Tecnología

Monopolio Android: Google enfrentará una multa de 4,1 mil millones de euros

teknomers 2 de Temmuz de 2026

You May Have Missed

  • Cultura

En el teléfono de la humorista Marine Leonardi: «Soy parte de esas personas abominables que hacen audios»

teknomers 2 de Temmuz de 2026
WhatsApp: aquí está el motivo por el que debes reservar
  • Tecnología

WhatsApp: aquí está el motivo por el que debes reservar tu nombre de usuario sin tardar

teknomers 2 de Temmuz de 2026
Péptidos: la ANSM alerta sobre los riesgos para la salud
  • salud

Péptidos: la ANSM alerta sobre los riesgos para la salud de los productos vendidos en línea

teknomers 2 de Temmuz de 2026
Isabelle Huppert se convierte en la primera mujer en presidir
  • Entretenimiento

Isabelle Huppert se convierte en la primera mujer en presidir la Cinémathèque française

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.