{"id":1637073,"date":"2025-03-25T00:20:56","date_gmt":"2025-03-25T00:20:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/vscode-marketplace-elimina-dos-extensiones-que-implementan-ransomware-en-etapa-inicial\/"},"modified":"2025-03-25T00:21:01","modified_gmt":"2025-03-25T00:21:01","slug":"vscode-marketplace-elimina-dos-extensiones-que-implementan-ransomware-en-etapa-inicial","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/vscode-marketplace-elimina-dos-extensiones-que-implementan-ransomware-en-etapa-inicial\/","title":{"rendered":"VSCode Marketplace elimina dos extensiones que implementan ransomware en etapa inicial"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ cifrado<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/VSCode-Marketplace-elimina-dos-extensiones-que-implementan-ransomware-en-etapa.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de seguridad cibern\u00e9tica han descubierto dos extensiones maliciosas en el mercado de Visual Studio Code (VScode) que est\u00e1n dise\u00f1ados para implementar ransomware que se est\u00e1 desarrollando a sus usuarios.<\/p>\n<p>Las extensiones, llamada &#8220;Ahban.shiba&#8221; y &#8220;Ahban.Cychelloworld&#8221;, han sido eliminados por los mantenedores del mercado.<\/p>\n<p>Ambas extensiones, por <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/ReversingLabs\/status\/1902355039265411208\" target=\"_blank\">Reversinglabs<\/a>incorpore un c\u00f3digo dise\u00f1ado para invocar un comando PowerShell, que luego toma una carga \u00fatil de Script PowerShell desde un servidor de comando y control (C2) y la ejecuta.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se sospecha que la carga \u00fatil es ransomware en el desarrollo de la etapa temprana, solo encriptando archivos en una carpeta llamada &#8220;TestShiba&#8221; en el escritorio de Windows de la v\u00edctima.<\/p>\n<p>Una vez que los archivos est\u00e1n encriptados, la carga \u00fatil de PowerShell muestra un mensaje, indicando &#8220;sus archivos han sido encriptados. Pague 1 Shibacoin a Shibawallet para recuperarlos&#8221;.<\/p>\n<p>Sin embargo, no se proporcionan otras instrucciones o direcciones de billetera de criptomonedas a las v\u00edctimas, otra indicaci\u00f3n de que el malware probablemente est\u00e9 en desarrollo por los actores de amenazas.<\/p>\n<p>El desarrollo se produce un par de meses despu\u00e9s de que la firma de seguridad de la cadena de suministro de software marc\u00f3 varias extensiones maliciosas, algunas de las cuales se disfrazaron de Zoom, pero albergaban la funcionalidad para descargar una carga \u00fatil de la segunda etapa desconocida desde un servidor remoto.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742862055_168_VSCode-Marketplace-elimina-dos-extensiones-que-implementan-ransomware-en-etapa.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742862055_168_VSCode-Marketplace-elimina-dos-extensiones-que-implementan-ransomware-en-etapa.png\" alt=\"Mercado VSCODE\" border=\"0\" data-original-height=\"1431\" data-original-width=\"2048\" title=\"Mercado VSCODE\"\/><\/a><\/div>\n<p>La semana pasada, Socket detall\u00f3 un paquete maven malicioso que se hace pasar por el <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/scribejava\/scribejava\" target=\"_blank\">biblioteca scibeJava-core oauth<\/a> Eso cosecha y exfiltra en secreto las credenciales OAuth en el decimoquinto d\u00eda de cada mes, destacando un mecanismo de activaci\u00f3n basado en el tiempo dise\u00f1ado para evadir la detecci\u00f3n.<\/p>\n<p>La biblioteca fue subida a Maven Central el 25 de enero de 2024. Sigue siendo <a rel=\"noopener nofollow\" href=\"https:\/\/mvnrepository.com\/artifact\/io.github.leetcrunch\/scribejava-core\" target=\"_blank\">Disponible para descargar<\/a> del repositorio.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Los atacantes utilizaron un tipo de escritura, creando un nombre casi id\u00e9ntico para enga\u00f1ar a los desarrolladores para agregar el paquete malicioso&#8221;, el investigador de seguridad Kush Pandya <a rel=\"noopener nofollow\" href=\"https:\/\/socket.dev\/blog\/malicious-maven-package-exfiltrates-oauth-credentials\" target=\"_blank\">dicho<\/a>. &#8220;Curiosamente, este paquete malicioso tiene seis paquetes dependientes&#8221;.<\/p>\n<p>&#8220;Todos ellos son paquetes leg\u00edtimos para escribir tipogr\u00e1fico, pero comparten el mismo grupo (io.github.leetcrunch) en lugar del espacio de nombres real (com.github.scribeJava)&#8221;.<\/p>\n<p>Al adoptar este enfoque, la idea es aumentar la legitimidad percibida de la Biblioteca Maliciosa, aumentando as\u00ed las posibilidades de que un desarrollador lo descargue y lo use en sus proyectos.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/vscode-marketplace-removes-two.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de marzo de 2025\ue804Ravie LakshmananMalware \/ cifrado Los investigadores de seguridad cibern\u00e9tica han descubierto dos extensiones maliciosas<\/p>\n","protected":false},"author":1,"featured_media":1637074,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,740,8888,189,3574,64188,3134,273784,273783,7530,4654,273782,4659,4653,4655,4883,246983,4665,246984,455,288805,239484],"class_list":["post-1637073","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-dos","tag-elimina","tag-etapa","tag-extensiones","tag-implementan","tag-inicial","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-marketplace","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ransomware","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion","tag-vscode","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1637073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1637073"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1637073\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1637074"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1637073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1637073"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1637073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}