Hace aproximadamente dos horas, detectamos otras tres extensiones en Open VSX que han sido comprometidas por el actor malicioso que hemos estado documentando desde marzo, utilizando caracteres no imprimibles. La semana pasada, identificamos que también habían comenzado a comprometer repositorios de GitHub. Hoy, estamos observando otra ola de ataques contra extensiones legítimas de Open VSX.
Los tres que hemos identificado en el momento de redactar este artículo son:
- adhamu/history-in-sublime-merge@1.3.4 (4k descargas)
- yasuyuky/transient-emacs@0.23.1 (2,4 mil descargas)
- ai-driven-dev/ai-driven-dev@0.4.11 (3,3 mil descargas)
En este momento, hemos notificado a Open VSX nuestro descubrimiento y estamos intentando ponernos en contacto con los responsables del mantenimiento.
Actualización de Open VSX del 27 de octubre
Esta oleada se produce tras una actualización de seguridad publicada por Open VSX (Fundación Eclipse) el 27 de octubre, en la que se reconocen los ataques que se han producido y se describen las defensas que se prevé implementar:
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
En ese momento, creían que el incidente estaba totalmente controlado. Sin embargo, los acontecimientos de hoy sugieren que, lamentablemente, se trata de una situación que aún no ha llegado a su fin.
A pesar de que estamos viendo otra oleada de este ataque, felicitamos a Open VSX por las medidas que planean tomar. Especialmente el escaneo automatizado de extensiones en el momento de su publicación es muy importante, ya que esto es también lo que hacemos aquí en Aikido. Sin embargo, no podemos escanear las extensiones antes de que se publiquen. Si se implementa correctamente, esto protegerá contra muchos ataques en el ecosistema. Aplaudimos esta iniciativa que está mostrando la Fundación Eclipse.
Una saga en curso
Es difícil defenderse de algo que no se ve, como es el caso de este ataque específico. Pero desde el principio, hemos estado rastreando a este actor malicioso desde marzo y hemos informado ampliamente sobre él. Nuestras publicaciones anteriores y la información técnica siguen siendo relevantes, y continuaremos publicando más información si la situación evoluciona.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
Protege tu software ahora.
.avif)
