Por Mid 
Fallo crítico en Open VSX expone a millones de desarrolladores
Tiempo estimado de lectura: 5 minutos Un reciente descubrimiento ha revelado una grave vulnerabilidad en Open VSX, poniendo en riesgo a millones de desarrolladores en todo el mundo. Investigadores de Koi Security han identificado un fallo que facilita ataques masivos en la cadena de suministro de software mediante el compromiso del registro de extensiones. Este registro, disponible en open-vsx.org y gestionado por la Fundación Eclipse, es un recurso abierto que proporciona extensiones a editores basados en Visual Studio Code, como Cursor, Windsurf, Gitpod o Google Cloud Shell Editor. Su influencia es considerable, ya que entre ocho y diez millones de desarrolladores dependen de él para la instalación y actualización de sus herramientas de trabajo. Esta gran adopción acentuó la gravedad del asunto. La vulnerabilidad estaba vinculada al proceso automatizado de publicación de extensiones. A través de un flujo de trabajo en GitHub Actions, se ejecutaba el comando npm install utilizando un token privilegiado conocido como OVSX_PAT. Este token poseía permisos suficientes para publicar o sobreescribir cualquier extensión en el registro. El fallo crucial era que npm install permite la ejecución de scripts arbitrarios, lo que posibilitaba que un paquete malicioso exfiltrara el token, entregándolo a un atacante. Consecuentemente, el atacante podría introducir extensiones manipuladas o sustituir las existentes, comprometiendo así numerosos entornos de desarrollo de forma inmediata. El 4 de mayo de 2025, el hallazgo se reportó responsablemente, y después de un periodo de pruebas y revisiones que se extendió varias semanas, fue el 25 de junio cuando se desplegó el parche definitivo, que mitigó la vulnerabilidad. Durante estas semanas, se tomó la iniciativa de deshabilitar extensiones sospechosas y reforzar el proceso de publicación, para evitar una explotación activa de este fallo. Este tipo de vulnerabilidades se registran en la base de datos NVD con el identificador CVE-2025-6705, evidenciando su gravedad y la necesidad de atención dentro de la comunidad. Las implicaciones de este fallo se asemejan a otros ataques relacionados con la cadena de suministro, como el incidente de SolarWinds, donde un único punto de debilidad puede afectar a sistemas y organizaciones en su totalidad. Desde abril de 2025, MITRE ya había clasificado las extensiones de IDE como un vector de persistencia en su marco ATT&CK, lo que añade una capa adicional de importancia a esta advertencia. En un entorno donde la confianza en los repositorios comunitarios es fundamental, esta vulnerabilidad destaca la necesidad de auditorías continuas de la infraestructura que las sustenta. Oren Yomtov, investigador de Koi Security, enfatizó que cada componente dentro de un marketplace puede convertirse en una puerta trasera si carece de un modelo de gobernanza adecuado. Las extensiones, al igual que las bibliotecas de PyPI o npm, exigen un control exhaustivo, ya que operan con permisos privilegiados en los entornos de desarrollo. Por ello, es crucial mantener una visibilidad constante de las extensiones instaladas, realizar evaluaciones periódicas de riesgos basadas en su origen y permisos, así como implementar modelos de Zero Trust que minimicen la superficie de ataque en repositorios abiertos. Este episodio con Open VSX ofrece una lección valiosa: la innovación y el ecosistema abierto requieren una seguridad rigurosa. Automatizar procesos sin el aislamiento necesario puede dar lugar a puertas traseras que amenacen a toda una comunidad global. La confianza en el software distribuido a través de marketplaces no solo debe considerar la facilidad de uso, sino también establecer barreras robustas contra amenazas que, como esta, podrían haber ocasionado un impacto devastador.
Conclusiones clave
Índice
Descripción de la vulnerabilidad
Mitigación y respuesta
Identificación y clasificación CVE
Necesidad de auditorías y gobernanza
Lección aprendida
Referencias