Aug 28, 2025Ravie Lakshmananmalware / Ransomware Ciberseguity Investigadores han descubierto una escapatoria en el mercado de códigos de Visual Studio que permite a los actores de amenaza reutilizar nombres de extensiones previamente eliminadas. El equipo de seguridad de la cadena de suministro de software, ReversingLabs, dijo que hizo el descubrimiento después de identificar una extensión maliciosa llamada «Ahbanc.shiba» que funcionó de manera similar a otras dos extensiones: Ahban.shiba y Ahban.Cychelloworld, que fueron marcadas a principios de marzo. Las tres bibliotecas están diseñadas para actuar como descargador para recuperar una carga útil de PowerShell de un servidor externo que cifra los archivos en una carpeta llamada «TestShiba» en el escritorio de Windows de la víctima y exige un token Shiba inu depositando los activos a una billetera no especificada. Estos esfuerzos sugieren intentos de desarrollo continuos por parte del actor de amenazas. La compañía dijo que decidió profundizar debido al hecho de que el nombre de la nueva extensión («Ahbanc.shiba») era prácticamente el mismo que uno de los otros dos identificados previamente («Ahban.shiba»). Vale la pena señalar que cada extensión tiene que tener una identificación única que sea una combinación del nombre del editor y el nombre de la extensión (es decir, .). En el caso investigado por ReversingLabs, ambas extensiones se diferencian solo por el nombre del editor, mientras que el nombre real de la extensión sigue siendo el mismo. Sin embargo, según la documentación del código de Visual Studio, el El campo especificado en el manifiesto de extensión «debe ser todo minúscula sin espacios» y «debe ser exclusivo del mercado». «Entonces, ¿cómo terminaron las extensiones ahban.shiba y ahbanc.shiba teniendo el mismo nombre a pesar de las reglas de publicación de la documentación oficial?», Preguntó la investigadora de seguridad Lucija Valentić, quien finalmente descubrió que es posible hacerlo una vez que la extensión se elimina del repositorio. Pero este comportamiento no se aplica a los escenarios en los que un autor no publica una extensión. Vale la pena señalar que la capacidad de reutilizar el nombre de las bibliotecas eliminadas también se aplica al repositorio del índice de paquetes de Python (PYPI), como lo demuestra ReversingLabs a principios de 2023. En el momento, se encontró que eliminar un paquete un paquete pondría su nombre «disponible para cualquier otro usuario de PYPI» en el lugar donde la archivos de distribución (una combinación de combinación del nombre del proyecto, el número de versiones y el número y la distribución de su tipo, el Tipo de la distribución, el Tipo de la Distribución, el Tipo de la Distribución, en el tiempo que los Nombre de la Distribución (una combinación de la Combinación del Nombre del Proyecto, y el Tipo de Distribución, y el Tipo de distribución, sean diferentes de los Tipos de la Distribución. Distribución ahora recuperada. Sin embargo, Pypi esconde una excepción donde los nombres de los paquetes PYPI pueden no estar disponibles si fueron utilizados por primera vez por paquetes maliciosos. Parece que Visual Studio Code no tiene una restricción similar para evitar la reutilización de nombres de extensiones maliciosas. El desarrollo, como se observó en registros de chat Black Basta filtrados, muestra cómo los actores de amenaza buscan envenenar registros de código abierto con bibliotecas de ransomware que exigen rescates de víctimas desprevenidas que puedan instalarlos. Esto hace que sea aún más crucial para las organizaciones y desarrolladores adoptar prácticas seguras de desarrollo y monitorear de manera proactiva estos ecosistemas para las amenazas de la cadena de suministro de software. «El descubrimiento de esta laguna expone una nueva amenaza: que el nombre de cualquier extensión eliminada puede ser reutilizada y por cualquiera», dijo Valentić. «Eso significa que si se elimina alguna extensión legítima y muy popular, su nombre está en juego». Los resultados también siguen la identificación de ocho paquetes de NPM maliciosos que se han encontrado que entregan un robo de información sobre el navegador de Google Chrome, dirigido a sistemas de Windows que es capaz de transmitir contraseñas, tarjetas de crédito, datos de billetera de criptomonedas y cookies de usuario a un ferrocarril[.]URL de la aplicación o un webhook de discordia como un mecanismo de respaldo. Los paquetes, publicados por los usuarios llamados RUER y NPJUN, se enumeran a continuación-ToolkDVV (Versiones 1.1.0, 1.0.0) react-sxt (versión 2.4.1) react-typex (versión 0.1.0) react-typexs (versión 0.1.0) react-sdk-solana (versión 2.4.1) react-nativo-nativo (versión 2.4.1)) revshearsshare-solana (vershare-share-sharshare-sharshare-shar 2.4.1) Revshare-SDK-APII (Versión 2.4.1) Lo notable de estos paquetes es el uso de 70 capas de código ofuscado para desempacar una carga útil de Python que está diseñada para facilitar el robo de datos y la exfiltración. «Los repositorios de software de código abierto se han convertido en uno de los principales puntos de entrada para los atacantes como parte de los ataques de la cadena de suministro, con ondas en crecimiento utilizando un tipo de escritura y disfrazamiento, fingiendo ser legítimo», dijo el investigador de seguridad de JFrog, Guy Korolevski. «El impacto de las sofisticadas campañas de múltiples capas diseñadas para evadir la seguridad tradicional y robar datos confidenciales resalta la importancia de tener visibilidad en toda la cadena de suministro de software con un escaneo riguroso automatizado y una sola fuente de verdad para todos los componentes de software».