Una nueva campaña de malware está realizando pruebas A/B sobre desarrolladores de software mediante extensiones maliciosas para Visual Studio Code, publicadas con señuelos distintos para medir cuál obtiene más descargas y confianza. Según investigaciones de firmas de seguridad, el atacante creó dos complementos con nombres que apelan a públicos diferentes: uno orientado a entusiastas de las criptomonedas y otro con apariencia de herramienta de productividad basada en inteligencia artificial, para evaluar cuál de los dos ilustraba mejor la efectividad del engaño.
Las extensiones comprometidas se aprovechan de la confianza que los desarrolladores depositan en el ecosistema de VS Code y pueden introducir cargas útiles como robo de credenciales, puertas traseras y mecanismos para mover lateralmente el acceso en entornos de trabajo. Este tipo de campañas evidencia el riesgo de la cadena de suministro del software y la importancia de revisar permisos, procedencia y reputación de cualquier extensión antes de instalarla en entornos de desarrollo o en máquinas con acceso a repositorios y credenciales sensibles.
Recomendamos a los equipos de desarrollo aplicar controles estrictos: restringir instalaciones en entornos de producción, usar políticas de lista blanca para extensiones, auditar cambios en los entornos de desarrollo y contar con soluciones de endpoint y análisis de comportamiento. Para empresas que buscan reforzar su seguridad y realizar pruebas de intrusión controladas, ofrecemos servicios profesionales de auditoría y pruebas con enfoque realista y ajustado a riesgos empresariales descubre nuestros servicios de ciberseguridad y pentesting.
En Q2BSTUDIO entendemos que la seguridad debe integrarse con el ciclo de vida del desarrollo. Somos una empresa de desarrollo de software que crea aplicaciones a medida y software a medida con prácticas seguras desde el diseño hasta el despliegue. Además, combinamos experiencia en inteligencia artificial y agentes IA con capacidades de despliegue en la nube para ofrecer soluciones completas que incluyen servicios cloud aws y azure, servicios inteligencia de negocio y power bi para visualización y análisis.
Si la campaña usa señuelos con temática de IA, es clave evaluar cómo se integran modelos y agentes en flujos de trabajo; en Q2BSTUDIO ayudamos a las organizaciones a adoptar ia para empresas de forma segura y eficiente, desde PoC hasta soluciones productivas conoce nuestros servicios de inteligencia artificial. Ofrecemos también automatización de procesos, protección de pipelines CI/CD y consultoría en cumplimiento para minimizar la superficie de ataque.
La lección principal es clara: incluso herramientas aparentemente benignas como extensiones de editor pueden convertirse en vectores de compromiso. Si necesitas asesoría para desarrollar aplicaciones seguras, auditar tu entorno de desarrollo o implementar soluciones en la nube con buenas prácticas de ciberseguridad, Q2BSTUDIO puede acompañarte en todas las fases del proyecto, desde la estrategia hasta la operación continua.

.jpg)
.jpg)

.jpg)
