Los investigadores de ciberseguridad tienen descubierto dos extensiones maliciosas de Microsoft Visual Studio Code (VS Code) que se anuncian como asistentes de codificación impulsados por inteligencia artificial (IA), pero que también albergan funciones encubiertas para desviar los datos de los desarrolladores a servidores con sede en China.

Las extensiones, que tienen 1,5 millones de instalaciones combinadas y aún están disponibles para su descarga en la página oficial Visual Studio Marketplace , se enumeran a continuación -

  • ChatGPT - (ID: whensunset.chatgpt-china) - 1.340.869 instalaciones
  • ChatGPT - ChatMoss(CodeMoss)(ID: zhukunpeng.chat-moss) - 151.751 instalaciones

Koi Security dijo que las extensiones son funcionales y funcionan como se esperaba, pero también capturan cada archivo que se abre y cada modificación del código fuente en los servidores ubicados en China sin el conocimiento o consentimiento de los usuarios. La campaña lleva el nombre en código MaliciousCorgi.

«Ambos contienen un código malicioso idéntico: la misma infraestructura de software espía que se ejecuta con diferentes nombres de editores», afirma el investigador de seguridad Tuval Admoni.

Lo que hace que la actividad sea particularmente peligrosa es que las extensiones funcionan exactamente como se anuncia, proporcionan sugerencias de autocompletado y explican los errores de codificación, lo que evita generar señales de alerta y reduce las sospechas de los usuarios.

Al mismo tiempo, el código malicioso incorporado está diseñado para leer todo el contenido de cada archivo que se abre, codificarlo en formato Base64 y enviarlo a un servidor ubicado en China («aihao123 [.] cn»). El proceso se activa cada vez que se edita.

Las extensiones también incorporan una función de supervisión en tiempo real que el servidor puede activar de forma remota, lo que provoca la filtración de hasta 50 archivos del espacio de trabajo. En la vista web de la extensión también hay un iframe oculto de cero píxeles que carga cuatro kits de desarrollo de software (SDK) de análisis comerciales para tomar las huellas dactilares de los dispositivos y crear amplios perfiles de usuario.

Los cuatro SDK utilizados son Zhuge.io, GrowingIO, TalkingData y Baidu Analytics, todos los cuales son las principales plataformas de análisis de datos con sede en China.

Las fallas de PackageGate afectan a los administradores de paquetes de JavaScript

La divulgación se produce cuando lo dijo la empresa de seguridad de la cadena de suministro. identificados seis vulnerabilidades de día cero en los administradores de paquetes de JavaScript, como npm, pnpm, vlt y Bun, que podrían aprovecharse para anular los controles de seguridad establecidos para evitar la ejecución automática de los scripts del ciclo de vida durante la instalación del paquete. Las fallas se han denominado colectivamente PackageGate.

Las defensas, como la desactivación de los scripts del ciclo de vida («--ignore-scripts») y la asignación de archivos de bloqueo («package-lock.json»), se han convertido en mecanismos cruciales para hacer frente ataques a la cadena de suministro , especialmente después de Shai-Hulud , que aprovecha los scripts posteriores a la instalación para propagarse de forma similar a un gusano con el fin de secuestrar los tokens npm y publicar versiones maliciosas de los paquetes en el registro.

Sin embargo, Koi descubrió que es posible eludir la ejecución de scripts y las comprobaciones de integridad de los archivos de bloqueo en los cuatro administradores de paquetes. Tras una divulgación responsable, los problemas se han abordado en pnpm ( versión 10.26.0 ), volt ( versión 1.0.0-rc.10 ), y Bollo ( versión 1.3.5 ). Pnpm está rastreando las dos vulnerabilidades como CVE-2025-69264 (puntuación CVSS: 8,8) y CVE-2025-69263 (Puntuación CVSS: 7,5).

Sin embargo, Npm ha optado por no corregir la vulnerabilidad, afirmando que «los usuarios son responsables de examinar el contenido de los paquetes que eligen instalar». Cuando se le contactó para hacer comentarios, un portavoz de GitHub dijo a The Hacker News que está trabajando activamente para solucionar el nuevo problema, ya que npm busca activamente malware en el registro.

«Si un paquete que se está instalando a través de git contiene un script de preparación, se instalarán sus dependencias y devDependencies. Como dijimos cuando se presentó la solicitud, este es un diseño intencional y funciona como se esperaba», dijo la empresa. «Cuando los usuarios instalan una dependencia de git, confían en todo el contenido de ese repositorio, incluidos sus archivos de configuración».

La subsidiaria propiedad de Microsoft también ha instado a los proyectos a adopte una publicación confiable y tokens de acceso granular con autenticación de dos factores (2FA) forzada para proteger la cadena de suministro de software. A partir de septiembre de 2025, GitHub tenía obsoleto los tokens clásicos heredados, limitaron los tokens granulares con permisos de publicación a un vencimiento más corto y eliminaron la opción de omitir la 2FA para la publicación de paquetes locales.

«Todavía vale la pena seguir el consejo estándar, deshabilitar los scripts y confirmar los archivos de bloqueo», dijo el investigador de seguridad Oren Yomtov. «Pero no es el panorama completo. Hasta que no se aborde por completo el problema de PackageGate, las organizaciones deben tomar sus propias decisiones informadas sobre el riesgo».

(La historia se actualizó después de su publicación para incluir una respuesta de GitHub).

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.