Hace aproximadamente 2 horas, detectamos otras tres extensiones en Open VSX que han sido comprometidas por el actor de amenazas que hemos estado documentando desde marzo, utilizando caracteres no imprimibles. La semana pasada, identificamos que también habían comenzado a comprometer repositorios de GitHub. Hoy, estamos observando otra oleada de ataques contra extensiones legítimas de Open VSX.
Las tres que hemos identificado en el momento de redactar este informe son:
- adhamu/history-in-sublime-merge@1.3.4 (4k descargas)
- yasuyuky/transient-emacs@0.23.1 (2.4k descargas)
- ai-driven-dev/ai-driven-dev@0.4.11 (3.3k descargas)
En este momento, hemos notificado a Open VSX sobre nuestro descubrimiento y también estamos intentando contactar a los mantenedores.
Actualización de Open VSX del 27 de octubre
Esta oleada se produce después de una actualización de seguridad publicada por Open VSX (Eclipse Foundation) el 27 de octubre, reconociendo los ataques ocurridos y detallando las defensas que planean implementar:
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
En ese momento, creían que el incidente estaba completamente contenido. Sin embargo, los acontecimientos de hoy sugieren que esta es todavía una situación en curso de la que aún no hemos visto el final, desafortunadamente.
Incluso mientras vemos otra oleada de este ataque, felicitamos a Open VSX por las acciones que planean tomar. Especialmente, el escaneo automatizado de extensiones en el momento de la publicación es significativo, ya que esto es también lo que hacemos aquí en Aikido. Sin embargo, no podemos escanear extensiones antes de que se publiquen. Si se implementa correctamente, esto protegerá contra muchos ataques en el ecosistema. Aplaudimos esta iniciativa que está mostrando la Eclipse Foundation.
Una saga en curso
Es difícil defenderse de algo que no se puede ver, como es el caso de este ataque específico. Pero desde el principio, hemos estado rastreando a este actor de amenazas desde marzo y hemos realizado una cobertura exhaustiva del mismo. Nuestras publicaciones anteriores e información técnica siguen siendo relevantes, y seguiremos publicando más información a medida que las cosas evolucionen.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
