Una de las herramientas más interesantes para desarrolladores, definitivamente, es Microsoft VSCode, pues permite editar código de forma fácil y cómoda. Sin contar que tiene soporte para instalar extensiones y facilitar aún más el trabajo.
Sin embargo, como reportan los compañeros de Bleeping Computer, un investigador ha descubierto que varias extensiones que se pueden instalar desde Microsoft VSCode esconden malware que infecta Windows para minar criptomonedas sin consentimiento ni conocimiento de los usuarios. A continuación, te contaremos más al respecto.
Se ha reportado que varias extensiones de Microsoft VSCode tienen malware
Tal y como hemos mencionado, Microsoft VSCode es un editor de código y que permite que los desarrolladores instalen extensiones que potencian las capacidades de la herramienta, lo que es muy útil.
Pero no es todo, ya que Microsoft ha centralizado todas las extensiones en un único centro en línea, llamado VSCode Marketplace. Este, como su nombre lo indica, funciona como una suerte de mercado en el que se comparten las extensiones para que otros las instalen.
Sin embargo, un investigador de ExtensionTotal ha descubierto y reportado que 9 extensiones de VSCode Marketplace y que fueron publicadas el pasado 4 de abril de 2025 tienen malware.
- Discord Rich Presence for VSCode – publicada por Mark H
- Rojo – Roblox Studio Sunc – publicada por evaera
- Solidity Compiler – publicada por VSCode Developer
- Claude AI – publicada por Mark H
- Golang Compiler – publicada por Mark H
- ChtGPT Agent for VSCode – publicada por Mark H
- HTML Obfuscator – publicada por Mark H
- Python Obsfuscator – publicada por Mark H
- Rust Compiler for VSCode – publicada por Mark H
En total, estas extensiones han acumulado más de 300.000 descargadas e instalaciones desde que se publicaron, por lo que hay una gran cantidad de usuarios infectados con este malware. Aunque también es cierto que puede que estos números sean inferiores y que, en realidad, estén inflados.
Estos se han pasar por extensiones y herramientas de desarrollo legítimas, pero terminan infectando a los usuarios con XMRig, un malware criptominero que hace que los ordenadores minen Monero y Ethereum.
Yuval Ronen, investigador de ExtensionTotal, ha reportado estas extensiones maliciosas a Microsoft, pero aún seguían disponibles. Esto significa que la compañía aún no había tomado cartas en el asunto ni los ha eliminado.
¿Qué hacen las extensiones maliciosas de VSCode en Windows?
Es importante señalar que, en el momento que se instalan estas extensiones, obtienen un script de PowerShell mediante una fuente externa, concretamente «https://asdfqq(.)xyz» y lo ejecutan.
Una vez termina todo esto, instala la extensión real que está suplantando para que no haya sospechas. Este script malicioso ejecuta diversas funciones, deshabilitando defensas, consiguiendo permisos de administrador, garantizar su persistencia y carga el malware criptominero.
También crea una tarea programada que se oculta con el proceso «OnedriveStartup» e inyecta un script en el Registro de Windows para asegurar que el malware se ejecute cuando arranca el sistema.
Después, deshabilita los servicios como Windows Update y Windows Medic, añadiendo su directorio de trabajo en la lista de exclusión del antivirus, asegurando que Windows Defender no lo detecte.
Por otro lado, en el caso de que el malware no se ejecute con permisos de administrador, va a imitar un archivo binario y hace un secuestro de DLL a través de MLANG.dll para obtener privilegios y cargar el lanzador.
El malware, una vez instalado, hace que los equipos minen criptomonedas en segundo plano, siendo concretamente Monero y Ethereum.
En caso de que hayas instalado cualquiera de estas extensiones, debes eliminarlas completamente del sistema operativo. Pero también deberás encontrar y borrar el minero de criptomonedas de forma manual, las tareas programadas, directorio de malware y claves de registro.
¿No lo detecta el antivirus? El horror.
Una tienda Made by Microsoft que funciona mal?… no me lo creo, debe haber un error