- Se ha descubierto un fallo de día cero en la versión web de Visual Studio Code que permite el robo de credenciales.
- La vulnerabilidad afecta principalmente a github.dev, exponiendo tokens OAuth con acceso total a repositorios privados.
- El investigador Ammar Askar ha publicado el código de explotación tras desencuentros con el centro de seguridad de Microsoft.
- Como medida preventiva, se aconseja a los desarrolladores borrar las cookies y datos locales del sitio afectado.
El ecosistema de desarrollo de software está en vilo tras conocerse una brecha de seguridad importante que afecta a una de las herramientas más queridas por la comunidad. Se trata de un fallo de tipo zero-day que pone en jaque la integridad de los proyectos alojados en GitHub cuando se utiliza la versión de navegador de Visual Studio Code. Este problema, que ha saltado a la palestra gracias a la investigación de un experto independiente, permite que un atacante se haga con el control de las llaves de acceso del usuario sin que este se dé apenas cuenta, lo que supone un riesgo evidente para la propiedad intelectual de muchas empresas y desarrolladores autónomos en nuestro país y en toda Europa.
Lo que hace que este asunto sea especialmente peliagudo es la facilidad con la que se puede ejecutar el engaño. Según los informes técnicos, basta con que la víctima haga clic en un enlace malicioso para que el proceso de infección comience a trabajar en segundo plano. No hace falta ser un experto en ciberseguridad para entender que, en un entorno de trabajo donde compartimos enlaces constantemente por Slack o Discord, la posibilidad de que alguien caiga en la trampa es bastante alta. La noticia ha corrido como la pólvora en los foros especializados, ya que el investigador ha decidido tirar de la manta y publicar cómo funciona exactamente el ataque ante la falta de una solución oficial inmediata por parte de los responsables del software.
Cómo funciona el exploit en el entorno de github.dev
El meollo de la cuestión reside en cómo interactúan las diferentes partes de la interfaz web de Visual Studio Code, concretamente en su versión github.dev. El atacante utiliza un archivo de cuaderno Jupyter que parece inofensivo pero que en realidad esconde código JavaScript malicioso. Este código aprovecha una debilidad en el sistema de paso de mensajes de los webviews para simular pulsaciones de teclas y engañar al editor. De esta forma, se instala de manera silenciosa una extensión fraudulenta que tiene un único objetivo: capturar el token de autenticación que el navegador utiliza para hablar con GitHub.
Una vez que la extensión maliciosa tiene el token en su poder, el desastre está servido. Este token OAuth no se limita únicamente al proyecto que el usuario tiene abierto en ese momento, sino que suele tener permisos para acceder a todos los repositorios privados y públicos asociados a esa cuenta. Esto significa que un simple despiste al abrir un enlace podría dar vía libre a terceros para cotillear, descargar o incluso modificar el código fuente de proyectos internos muy valiosos, algo que en el tejido empresarial tecnológico europeo se considera una catástrofe de primer nivel.
El pulso entre investigadores y Microsoft
La publicación de esta vulnerabilidad no ha estado exento de polémica debido a la forma en que se ha gestionado. Ammar Askar, el investigador que dio con el fallo, ha optado por la divulgación pública total tras manifestar su descontento con cómo se han tratado otros reportes anteriormente. Al parecer, la sensación de que algunas empresas tecnológicas no dan el reconocimiento necesario o parchean errores de forma silenciosa ha llevado a que los expertos prefieran airear las vergüenzas del software para forzar una respuesta más rápida y transparente por parte de los gigantes del sector.
Esta situación ha reabierto el debate sobre la seguridad en la cadena de suministro de software. No es la primera vez que vemos cómo las extensiones de los editores de código se convierten en el caballo de Troya perfecto para entrar en las tripas de una compañía. De hecho, se han dado casos recientes donde grupos organizados han logrado comprometer miles de repositorios usando tácticas muy similares para instalar backdoors, lo que demuestra que los atacantes han puesto el ojo en las herramientas que los programadores usan a diario para trabajar desde casa o en remoto.
Medidas de protección para desarrolladores en España
A falta de un parche definitivo que cierre la puerta por completo, a los usuarios que utilizan estas herramientas en España no les queda otra que tomar medidas manuales para curarse en salud. La recomendación más directa es entrar en la configuración del navegador y limpiar a fondo las cookies y los datos locales asociados al dominio de github.dev. Al hacer esto, se rompe el enlace automático y, la próxima vez que una extensión intente usar el token, el sistema lanzará un aviso de advertencia que permitirá al usuario bloquear cualquier actividad sospechosa antes de que sea tarde.
Además de la limpieza de datos, es fundamental que los equipos de desarrollo empiecen a mirar con lupa los permisos que conceden a las aplicaciones conectadas. No está de más revisar periódicamente los tokens de acceso en los ajustes de seguridad de GitHub y revocar aquellos que ya no se utilicen o que parezcan fuera de lugar. La prevención es la mejor herramienta que tenemos ahora mismo, especialmente cuando trabajamos en entornos basados en la nube que, aunque son muy cómodos para el despliegue rápido, a veces dejan rendijas abiertas por las que se pueden colar los amigos de lo ajeno.
La realidad es que estamos ante un recordatorio de que la seguridad absoluta no existe y que incluso las herramientas más robustas pueden tener pies de barro. Mientras Microsoft termina de pulir la solución definitiva, la comunidad debe mantenerse alerta y evitar el exceso de confianza al abrir recursos externos. Mantener el software actualizado y ser un poco desconfiados con los enlaces que nos llegan es, a día de hoy, el mejor escudo contra este tipo de vulnerabilidades que buscan aprovecharse del ritmo frenético con el que se mueve el mundo del desarrollo de software actual.