La extensión Open VSX con backdoor utilizó GitHub Downloader para implementar RAT y Stealer

Se descubrió una popular extensión de editor de código incluida en el registro Open VSX que contiene malware oculto que busca y ejecuta silenciosamente un troyano de acceso remoto (RAT) y un ladrón de información completo directamente en las máquinas de los desarrolladores sin ninguna señal de advertencia visible. La extensión, conocida como borrador rápido en la cuenta del editor KhangNghiem, había acumulado más de 26.000 descargas antes de que finalmente saliera a la luz la actividad maliciosa incorporada en varias versiones específicas.

Las versiones 0.10.89, 0.10.105, 0.10.106 y 0.10.112 contenían código que llegaba a un repositorio de GitHub controlado por un actor de amenazas llamado BlokTrooper. La extensión extrajo scripts de shell específicos de la plataforma directamente desde raw.githubusercontent[.]com/BlokTrooper/extension y canalizó toda la respuesta directamente a un shell del sistema, que luego descargó y ejecutó una payload completa de malware de segunda etapa en la máquina víctima. Otras versiones, incluidas 0.10.88, 0.10.111 y la última versión 0.10.135, no mostraron tal comportamiento, lo que apunta fuertemente hacia una cuenta de editor comprometida o un token de versión robado en lugar de un mantenedor que actuó de manera deshonesta a propósito. Los analistas de Aikido identificaron la extensión comprometida durante una cuidadosa revisión manual versión por versión de la línea de lanzamiento de borrador rápido.

El equipo reveló el problema al responsable de la extensión el 12 de marzo de 2026, a través de una edición pública de GitHub, pero el informe no había recibido respuesta alguna en el momento de su publicación. Con más de 26.594 descargas registradas en el registro Open VSX, la exposición potencial entre desarrolladores de código abierto y equipos de software de todo el mundo es muy significativa.

Consultar publicación original ↗