{"id":388,"date":"2026-03-27T15:37:54","date_gmt":"2026-03-27T15:37:54","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/27\/el-error-abierto-de-vsx-permite-que-las-extensiones-de-codigo-vs-maliciosas-omitan-las-comprobaciones-de-seguridad-previas-a-la-publicacion\/"},"modified":"2026-03-27T15:37:54","modified_gmt":"2026-03-27T15:37:54","slug":"el-error-abierto-de-vsx-permite-que-las-extensiones-de-codigo-vs-maliciosas-omitan-las-comprobaciones-de-seguridad-previas-a-la-publicacion","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/27\/el-error-abierto-de-vsx-permite-que-las-extensiones-de-codigo-vs-maliciosas-omitan-las-comprobaciones-de-seguridad-previas-a-la-publicacion\/","title":{"rendered":"El error abierto de VSX permite que las extensiones de c\u00f3digo VS maliciosas omitan las comprobaciones de seguridad previas a la publicaci\u00f3n"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han revelado detalles de un error ahora parcheado que afecta el proceso de escaneo previo a la publicaci\u00f3n de Open VSX y hace que la herramienta permita que una extensi\u00f3n maliciosa de Microsoft Visual Studio Code (VS Code) pase el proceso de investigaci\u00f3n y entre en funcionamiento en el registro.<\/p>\n

\u00abLa canalizaci\u00f3n ten\u00eda un \u00fanico valor de retorno booleano que significaba ‘no hay esc\u00e1neres configurados’ y ‘todos los esc\u00e1neres no pudieron ejecutarse’\u00bb, Oran Simhony, investigador de Koi Security. dicho<\/a> en un informe compartido con The Hacker News. \u00abLa persona que llam\u00f3 no pudo notar la diferencia. Entonces, cuando los esc\u00e1neres fallaron bajo carga, Open VSX lo trat\u00f3 como ‘nada que buscar’ y agit\u00f3 la extensi\u00f3n directamente\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

A principios del mes pasado, la Fundaci\u00f3n Eclipse, que mantiene Open VSX, anunci\u00f3 planes para hacer cumplir controles de seguridad previos a la publicaci\u00f3n<\/a> antes de que las extensiones de VS Code se publiquen en el repositorio en un intento de abordar el creciente problema de las extensiones maliciosas.<\/p>\n

Dado que Open VSX tambi\u00e9n sirve como mercado de extensiones para Cursor, Windsurf y otras bifurcaciones de VS Code, la medida fue vista como un enfoque proactivo para evitar que se publiquen extensiones maliciosas en primer lugar. Como parte del an\u00e1lisis previo a la publicaci\u00f3n, las extensiones que no superan el proceso se ponen en cuarentena para revisi\u00f3n del administrador.<\/p>\n

La vulnerabilidad descubierta por Koi, cuyo nombre en c\u00f3digo S\u00e9samo abierto<\/strong>tiene que ver con c\u00f3mo este servicio basado en Java informa los resultados del an\u00e1lisis. Espec\u00edficamente, se debe al hecho de que malinterpreta las fallas en el trabajo del esc\u00e1ner, ya que no hay esc\u00e1neres configurados, lo que hace que una extensi\u00f3n se marque como aprobada y luego se active inmediatamente y est\u00e9 disponible para su descarga desde Open VSX.<\/p>\n

\"\"<\/a><\/div>\n

Al mismo tiempo, tambi\u00e9n puede hacer referencia a un escenario en el que los analizadores existen y los trabajos del analizador han fallado y no se pueden poner en cola porque el grupo de conexiones de la base de datos est\u00e1 agotado. A\u00fan m\u00e1s preocupante, un servicio de recuperaci\u00f3n dise\u00f1ado para reintentar an\u00e1lisis fallidos sufri\u00f3 el mismo problema, permitiendo as\u00ed que las extensiones omitan todo el proceso de an\u00e1lisis bajo ciertas condiciones.<\/p>\n

Un atacante puede aprovechar esta debilidad para inundar el punto final de publicaci\u00f3n con varias extensiones .VSIX maliciosas, lo que provoca que la carga simult\u00e1nea agote el grupo de conexiones de la base de datos. Esto, a su vez, conduce a un escenario en el que los trabajos de escaneo no se ponen en cola.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Lo notable del ataque es que no requiere ning\u00fan privilegio especial. Un actor malicioso con una cuenta de editor gratuita podr\u00eda haber activado de manera confiable esta vulnerabilidad para socavar el proceso de escaneo y publicar su extensi\u00f3n. El problema era dirigido<\/a> en Abierto VSX versi\u00f3n 0.32.0<\/a> el mes pasado luego de la divulgaci\u00f3n responsable el 8 de febrero de 2026.<\/p>\n

\u00abEl escaneo previo a la publicaci\u00f3n es una capa importante, pero es una capa\u00bb, dijo Koi. \u00abEl dise\u00f1o del oleoducto es s\u00f3lido, pero un solo valor booleano que no pod\u00eda distinguir entre ‘nada que hacer’ y ‘algo sali\u00f3 mal’ convirti\u00f3 toda la infraestructura en una puerta que se abri\u00f3 bajo presi\u00f3n\u00bb.<\/p>\n

\u00abEste es un antipatr\u00f3n com\u00fan: manejo de errores de apertura fallida escondido detr\u00e1s de una ruta de c\u00f3digo dise\u00f1ada para un caso leg\u00edtimo de ‘nada que hacer’. Si est\u00e1 creando canalizaciones similares, haga expl\u00edcitos los estados de falla. Nunca permita que ‘no se necesita trabajo’ y ‘trabajo fallido’ compartan un valor de retorno\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad han revelado detalles de un error ahora parcheado que afecta el proceso de escaneo previo a la publicaci\u00f3n de Open VSX y hace que la herramienta permita que una extensi\u00f3n maliciosa de Microsoft Visual Studio Code (VS Code) pase el proceso de investigaci\u00f3n y entre en funcionamiento en el registro. \u00abLa […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[377,376,1353,778,314,95,315,1352,265,1354,1355,104,884],"class_list":["post-388","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abierto","tag-codigo","tag-comprobaciones","tag-error","tag-extensiones","tag-las","tag-maliciosas","tag-omitan","tag-permite","tag-previas","tag-publicacion","tag-seguridad","tag-vsx"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/388","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=388"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/388\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=388"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=388"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=388"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}