Fallo crítico en Open VSX ha puesto en riesgo a millones de desarrolladores en todo el mundo. La vulnerabilidad, descubierta por investigadores de Koi Security, permitía comprometer el registro de extensiones y facilitaba ataques a gran escala en la cadena de suministro de software.
Un grupo de investigadores en ciberseguridad de Koi Security ha revelado una vulnerabilidad crítica en el registro Open VSX (open-vsx.org), que podría haber permitido a atacantes comprometer por completo el mercado de extensiones para Visual Studio Code y poner en riesgo a millones de desarrolladores.
Open VSX, gestionado por la Fundación Eclipse, es un servicio abierto y comunitario que ofrece extensiones para editores basados en VS Code como Cursor, Windsurf, Gitpod o Google Cloud Shell Editor. Su relevancia es enorme, ya que entre ocho y diez millones de desarrolladores dependen de este registro para instalar y actualizar sus entornos de trabajo. Precisamente esa adopción masiva fue lo que convirtió el fallo en un riesgo de gran magnitud.
La vulnerabilidad residía en el proceso de publicación automatizada de extensiones. Un flujo de trabajo de GitHub Actions ejecutaba el comando npm install con un token privilegiado denominado OVSX_PAT. Dicho token tenía permisos suficientes para publicar o sobrescribir cualquier extensión dentro del registro. El problema radicaba en que npm install permite la ejecución de scripts arbitrarios, lo que habría hecho posible que un paquete malicioso exfiltrara el token y lo entregara a un atacante. Con ese acceso, el atacante tendría la capacidad de introducir extensiones manipuladas o reemplazar las existentes, comprometiendo millones de entornos de desarrollo de forma inmediata.
El hallazgo fue reportado de manera responsable el 4 de mayo de 2025, y tras varias semanas de pruebas y revisiones, el 25 de junio se desplegó el parche definitivo que mitigó el problema. Durante ese lapso, se trabajó en deshabilitar extensiones sospechosas y fortalecer el proceso de publicación, con el fin de evitar que el error se explotara activamente. La vulnerabilidad quedó registrada en la base de datos NVD bajo el identificador CVE-2025-6705, lo que refleja su gravedad y la necesidad de un seguimiento por parte de la comunidad.
La repercusión de este incidente ha sido comparada con otros ataques de la cadena de suministro como el de SolarWinds, en los que un único punto débil compromete sistemas y organizaciones enteras. Desde abril de 2025, MITRE ya había reconocido las extensiones de IDE como un vector de persistencia dentro de su marco ATT&CK, lo que añade relevancia a la advertencia. En un contexto donde la confianza en los repositorios comunitarios es esencial, este hallazgo pone de relieve la importancia de auditar de forma continua la infraestructura que los respalda.
Oren Yomtov, investigador de Koi Security, señaló que cada elemento dentro de un marketplace puede convertirse en una puerta trasera si no existe un modelo de gobernanza sólido. Las extensiones, al igual que las librerías de PyPI o npm, requieren un control riguroso porque actúan con permisos privilegiados en los entornos de los desarrolladores. De ahí la necesidad de visibilidad e inventario constante de las extensiones instaladas, evaluación periódica de riesgos según su origen y permisos, y la implementación de modelos Zero Trust que reduzcan la superficie de ataque en repositorios abiertos.
Este fallo en Open VSX deja una lección clara: la innovación y el ecosistema abierto deben ir acompañados de una seguridad estricta. Automatizar procesos sin un aislamiento adecuado puede derivar en puertas traseras que pongan en jaque a toda una comunidad global. La confianza en el software distribuido a través de marketplaces exige no solo facilidad de uso, sino también un blindaje robusto frente a amenazas que, como esta, podrían haber tenido un impacto devastador.
Más información:
Critical Open VSX Registry Flaw Exposes Millions of Developers to Supply Chain Attacks : https://thehackernews.com/2025/06/critical-open-vsx-registry-flaw-exposes.html
Deja una respuesta