Investigadores en ciberseguridad han revelado un riesgo significativo en la cadena de suministro de software que afecta a varios forks populares de Microsoft Visual Studio Code (VS Code) impulsados por inteligencia artificial, entre ellos Cursor, Windsurf, Google Antigravity y Trae. El problema radica en que estos entornos de desarrollo integrados (IDE) recomiendan extensiones que no existen en el registro Open VSX, lo que abre la puerta a que actores maliciosos publiquen extensiones fraudulentas bajo esos mismos nombres.
El hallazgo fue realizado por la empresa de seguridad Koi, que advirtió que este comportamiento puede ser explotado con extrema facilidad debido a la confianza implícita que los desarrolladores depositan en las recomendaciones automáticas del IDE. En un contexto donde los ataques a la cadena de suministro se han vuelto cada vez más frecuentes, esta situación representa un vector de ataque silencioso pero altamente efectivo.
El origen del problema: herencia de recomendaciones de Microsoft
Según Koi, estos IDEs con IA heredan directamente la lista de extensiones recomendadas del marketplace oficial de Microsoft, diseñado para Visual Studio Code. Sin embargo, a diferencia de VS Code, muchos de estos forks no utilizan el marketplace de Microsoft, sino el registro alternativo Open VSX, gestionado por la Eclipse Foundation.
El conflicto surge porque muchas de las extensiones recomendadas por Microsoft no existen en Open VSX.
“El problema es que estas extensiones recomendadas no existían en Open VSX. Los espacios de nombres no estaban reclamados. Cualquiera podía registrarlos y subir lo que quisiera”, explicó Oren Yomtov, investigador de seguridad en Koi.
Esto significa que los nombres de extensiones altamente confiables quedaban disponibles, permitiendo que cualquier tercero pudiera registrarlos y publicar código arbitrario sin levantar sospechas.
Cómo puede explotarse el fallo
Las recomendaciones de extensiones en VS Code y sus forks funcionan de dos formas principales:
-
Recomendaciones basadas en archivos, que aparecen como notificaciones cuando el usuario abre archivos con determinados formatos.
-
Recomendaciones basadas en software, que se muestran cuando el IDE detecta que ciertos programas están instalados en el sistema anfitrión.
Un atacante puede aprovechar este comportamiento de forma muy eficaz. Por ejemplo, si un desarrollador tiene PostgreSQL instalado y abre uno de estos IDEs basados en IA, el sistema puede mostrar un mensaje como:
“Recomendado: Extensión PostgreSQL”
Si el nombre recomendado —por ejemplo, ms-ossdata.vscode-postgresql— no existe en Open VSX, un atacante puede publicar una extensión maliciosa con ese identificador exacto. En ese punto, una simple acción de instalación basta para comprometer el entorno del desarrollador.

Confianza automática, consecuencias reales
Este tipo de ataque es especialmente peligroso porque no depende de phishing ni de ingeniería social compleja. El propio IDE actúa como canal de legitimación, sugiriendo la instalación de una extensión que el desarrollador asume como segura.
Koi demostró el impacto real del problema al publicar una extensión PostgreSQL provisional e inofensiva, únicamente para evaluar el comportamiento de los usuarios. El resultado fue alarmante: más de 500 instalaciones en un corto período de tiempo.
Esto demuestra que los desarrolladores instalan extensiones recomendadas de forma casi automática, sin verificar el editor o el origen del paquete.
En un escenario real, una extensión maliciosa podría:
-
Robar credenciales y secretos almacenados en el entorno
-
Exfiltrar código fuente propietario
-
Acceder a tokens de API y claves de nube
-
Insertar puertas traseras en proyectos de software
-
Comprometer pipelines de CI/CD
Extensiones afectadas y espacios de nombres vulnerables
Para evitar que actores maliciosos explotaran el problema antes de que se corrigiera, Koi reclamó varios nombres de extensiones vulnerables y los protegió con marcadores de posición. Algunos de los identificadores afectados incluyen:
-
1ms-ossdata.vscode-postgresql
-
1ms-azure-devops.azure-pipelines
-
1msazurermtools.azurerm-vscode-tools
-
1usqlextpublisher.usql-vscode-ext
-
1cake-build.cake-vscode
-
1pkosta2005.heroku-command
Estos nombres imitan extensiones ampliamente conocidas y utilizadas en entornos profesionales, lo que aumenta drásticamente el potencial de abuso.
Respuesta de la industria y medidas correctivas
Tras la divulgación responsable del problema:
-
Cursor, Windsurf y Google implementaron correcciones para evitar recomendar extensiones inexistentes.
-
La Eclipse Foundation, responsable de Open VSX, eliminó contribuyentes no oficiales asociados a estos nombres y aplicó salvaguardas adicionales a nivel de registro.
-
Se reforzaron los controles sobre reclamación de espacios de nombres sensibles.
Estas acciones reducen el riesgo inmediato, pero el incidente deja una lección clara: los mercados de extensiones se han convertido en un objetivo prioritario para los atacantes.
Un problema mayor: la cadena de suministro del desarrollo moderno
Este caso pone de relieve un problema estructural en el desarrollo de software moderno. Los IDEs, extensiones y librerías de código abierto forman una cadena de suministro compleja, donde un solo componente comprometido puede afectar a miles de organizaciones.
Con la adopción creciente de IDEs impulsados por IA, que automatizan decisiones y recomendaciones, el riesgo se amplifica. Cada sugerencia automática reduce la fricción… y también la verificación humana.
Recomendaciones de seguridad para desarrolladores
Ante este panorama, los expertos recomiendan:
-
Verificar siempre el editor de una extensión antes de instalarla.
-
Priorizar extensiones de proveedores verificados y reconocidos.
-
Revisar el código fuente y la reputación cuando sea posible.
-
Limitar el uso de extensiones en entornos sensibles.
-
Implementar controles de seguridad en endpoints de desarrollo.
En fin…
El caso de los IDEs con IA basados en VS Code y Open VSX demuestra que la confianza automática es uno de los mayores riesgos de seguridad actuales. En un ecosistema donde las extensiones tienen acceso profundo al entorno de desarrollo, una recomendación mal gestionada puede convertirse en un ataque a gran escala.
La seguridad de la cadena de suministro no termina en el código: empieza en las herramientas que los desarrolladores usan cada día.
Fuente: The Hacker News
