Una nueva campaña que involucra extensiones de Código Visual Studio (VS Code) malicioso ha expuesto una escapatoria en el mercado VS Code que permite a los actores de amenaza reutilizar nombres de paquetes previamente eliminados. Las extensiones, que llevaban el nombre «Shiba», entregaron ransomware a través de un ataque de varias etapas. La forma en que funciona el ataque que ReversingLabs los investigadores encontraron que una de las extensiones maliciosas, Ahbanc.Shiba, era un simple descargador. Una vez instalado, ejecutó el comando shiba.aowoo, que recuperó una segunda carga útil de un servidor remoto. El script encriptó los archivos en una carpeta de prueba designada y exigió el rescate en forma de un token Shiba inu, una criptomoneda basada en Ethereum. En particular, como en casos anteriores, no se proporcionó ninguna dirección de billetera real para el pago. Esta técnica reflejó un caso anterior en el Índice de paquetes de Python (PYPI), donde los atacantes reutilizan el nombre de un paquete eliminado para difundir malware. Sin embargo, la reutilización de los nombres en VS Code Marketplace contradice la documentación propia de la plataforma, que establece que los nombres de extensión deben ser únicos. Lea más sobre los ataques de la cadena de suministro de software: la cadena de suministro Incident Imperils Servicios y datos del Consejo Glasgow La investigación de ReversingLabs reveló que el problema proviene de cómo VS Code maneja la eliminación de la extensión. Los editores del mercado pueden no publicar o eliminar una extensión. Mientras que las extensiones no publicadas conservan sus nombres y estadísticas, eliminó las extensiones libres de sus nombres para que cualquiera reutilice. Esta brecha permitió a los atacantes volver a publicar el código malicioso debajo de los nombres asociados con extensiones previamente eliminadas. ReversingLabs confirmó este defecto publicando con éxito nuevas extensiones de prueba bajo los nombres previamente utilizados por paquetes maliciosos, como «solidez-etereo». Implicaciones más amplias para la entrega de malware La línea de tiempo de la campaña Shiba mostró un uso repetido de esta táctica. Extensiones bajo diferentes editores, pero compartiendo el mismo nombre surgió desde finales de 2024 hasta mediados de 2025. Los investigadores señalaron que, si bien este incidente probablemente no tiene un enlace a grupos de ransomware como Black Basta, la estrategia se alinea con un interés penal más amplio en aprovechar los repositorios públicos para la entrega de malware. Las conclusiones clave de los hallazgos de ReversingLabs incluyen: los nombres de extensión eliminados se pueden reutilizar libremente que los actores maliciosos pueden explotar esto para hacerse pasar por herramientas legítimas que los desarrolladores deben seguir siendo cautelosos al agregar paquetes del mercado «Vs Code Marketplace se está volviendo cada vez más popular entre los actores maliciosos», dijeron los investigadores de reversinglabs. «El descubrimiento de esta escapatoria abre una nueva lata de gusanos». Al momento de escribir, no hay indicios públicos de que Microsoft haya tomado medidas específicamente para abordar la capacidad de los diferentes editores de reutilizar los nombres de extensión una vez que se elimina un paquete.