{"id":566470,"date":"2023-01-10T00:29:36","date_gmt":"2023-01-10T00:29:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-pueden-abusar-de-visual-studio-marketplace-para-atacar-a-los-desarrolladores-con-extensiones-maliciosas\/"},"modified":"2023-01-10T00:29:38","modified_gmt":"2023-01-10T00:29:38","slug":"los-piratas-informaticos-pueden-abusar-de-visual-studio-marketplace-para-atacar-a-los-desarrolladores-con-extensiones-maliciosas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-pueden-abusar-de-visual-studio-marketplace-para-atacar-a-los-desarrolladores-con-extensiones-maliciosas\/","title":{"rendered":"Los piratas inform\u00e1ticos pueden abusar de Visual Studio Marketplace para atacar a los desarrolladores con extensiones maliciosas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 de enero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Cadena de Suministro \/ CodeSec<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se podr\u00eda aprovechar un nuevo vector de ataque dirigido al mercado de extensiones de Visual Studio Code para cargar extensiones no autorizadas que se hacen pasar por sus contrapartes leg\u00edtimas con el objetivo de montar ataques a la cadena de suministro.<\/p>\n<p>La t\u00e9cnica &#8220;podr\u00eda actuar como un punto de entrada para un ataque a muchas organizaciones&#8221;, dijo el investigador de seguridad de Aqua, Ilay Goldman. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/can-you-trust-your-vscode-extensions\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>Extensiones de VS Code, seleccionadas a trav\u00e9s de un <a rel=\"nofollow noopener\" href=\"https:\/\/marketplace.visualstudio.com\/vscode\" target=\"_blank\">mercado<\/a> puestos a disposici\u00f3n por Microsoft, permiten a los desarrolladores agregar lenguajes de programaci\u00f3n, depuradores y herramientas al editor de c\u00f3digo fuente de VS Code para aumentar sus flujos de trabajo. <\/p>\n<p>&#8220;Todas las extensiones se ejecutan con los privilegios del usuario que ha abierto VS Code sin ninguna zona de pruebas&#8221;, dijo Goldman, explicando los riesgos potenciales de usar extensiones de VS Code.  &#8220;Esto significa que la extensi\u00f3n puede instalar cualquier programa en su computadora, incluidos ransomwares, limpiaparabrisas y m\u00e1s&#8221;.<\/p>\n<p>Con ese fin, Aqua descubri\u00f3 que no solo es posible que un actor de amenazas se haga pasar por una extensi\u00f3n popular con peque\u00f1as variaciones en la URL, el mercado tambi\u00e9n permite que el adversario use el mismo nombre y los detalles del editor de la extensi\u00f3n, incluida la informaci\u00f3n del repositorio del proyecto.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673310576_553_Los-piratas-informaticos-pueden-abusar-de-Visual-Studio-Marketplace-para.png\" alt=\"\" border=\"0\" data-original-height=\"526\" data-original-width=\"728\"\/><\/div>\n<p>Si bien el m\u00e9todo no permite replicar la cantidad de instalaciones y la cantidad de estrellas, el hecho de que no haya restricciones en las otras caracter\u00edsticas de identificaci\u00f3n significa que podr\u00eda usarse para enga\u00f1ar a los desarrolladores.<\/p>\n<p>La investigaci\u00f3n tambi\u00e9n descubri\u00f3 que la insignia de verificaci\u00f3n asignada a los autores podr\u00eda pasarse por alto trivialmente, ya que la marca de verificaci\u00f3n solo prueba que el editor de la extensi\u00f3n es el propietario real de un dominio.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673310576_544_Los-piratas-informaticos-pueden-abusar-de-Visual-Studio-Marketplace-para.png\" alt=\"\" border=\"0\" data-original-height=\"393\" data-original-width=\"728\"\/><\/div>\n<p>En otras palabras, un actor malicioso podr\u00eda comprar cualquier dominio, registrarlo para obtener una marca de verificaci\u00f3n verificada y, en \u00faltima instancia, cargar una extensi\u00f3n troyana con el mismo nombre que la leg\u00edtima en el mercado.<\/p>\n<p>Una extensi\u00f3n de prueba de concepto (PoC) que se hace pasar por el <a rel=\"nofollow noopener\" href=\"https:\/\/marketplace.visualstudio.com\/items?itemName=esbenp.prettier-vscode\" target=\"_blank\">m\u00e1s bonita<\/a> La utilidad de formato de c\u00f3digo acumul\u00f3 m\u00e1s de 1000 instalaciones en 48 horas por parte de desarrolladores de todo el mundo, dijo Aqua.  desde entonces ha sido <a rel=\"nofollow noopener\" href=\"https:\/\/marketplace.visualstudio.com\/items?itemName=espenp.pretier-vscode\" target=\"_blank\">derribados<\/a>.<\/p>\n<p>Esta no es la primera vez que se plantean preocupaciones sobre las amenazas de la cadena de suministro de software en el mercado de extensiones de VS Code.<\/p>\n<p>En mayo de 2021, la empresa de seguridad empresarial Snyk descubri\u00f3 una serie de fallas de seguridad en las extensiones populares de VS Code con millones de descargas que podr\u00edan haber sido objeto de abuso por parte de los actores de amenazas para comprometer los entornos de los desarrolladores.<\/p>\n<p>&#8220;Los atacantes trabajan constantemente para expandir su arsenal de t\u00e9cnicas que les permitan ejecutar c\u00f3digos maliciosos dentro de la red de organizaciones&#8221;, dijo Goldman.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/hackers-distributing-malicious-visual.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 de enero de 2023\ue804Ravie Lakshman\u00e1nCadena de Suministro \/ CodeSec Se podr\u00eda aprovechar un nuevo vector de ataque<\/p>\n","protected":false},"author":1,"featured_media":566471,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[17266,4657,4656,4586,4661,4664,99,34683,3574,4662,6214,4668,4667,36,7355,7530,4654,4658,4659,4653,4655,18,6213,4663,1125,4666,4665,2459,4395,4660],"class_list":["post-566470","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusar","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacar","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-desarrolladores","tag-extensiones","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-maliciosas","tag-marketplace","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-programa-malicioso-ransomware","tag-pueden","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-studio","tag-visual","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/566470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=566470"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/566470\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/566471"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=566470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=566470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=566470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}