Tabla de contenidos
Usas extensiones para mejorar tu experiencia de desarrollo en Visual Studio Code, pero ¿eres realmente consciente de lo que sucede en segundo plano? Imagina que tu código se envía a servidores remotos sin que lo sepas. ¿Intrigado? Descubre cómo las extensiones ChatGPT – 中文版 y ChatMoss podrían comprometer tu trabajo.
Las 3 informaciones que no debes perderte
Las extensiones ChatGPT – 中文版 y ChatMoss, disponibles en el Visual Studio Code Marketplace, son conocidas por proporcionar sugerencias y completaciones de código. Sin embargo, Koi Security ha revelado que estas herramientas envían discretamente el contenido de los archivos abiertos a servidores ubicados en China. El usuario, sin saberlo, ve sus datos exfiltrados en segundo plano.
Los investigadores descubrieron que tan pronto como se abre un archivo con estas extensiones activas, su contenido se codifica en Base64 y se transmite. Este proceso, realizado sin alerta ni solicitud de consentimiento, pone en peligro la confidencialidad de los datos de los usuarios.
ChatGPT – 中文版 y ChatMoss no se limitan a funcionar como simples herramientas de edición de código. Las extensiones son capaces de transmitir comandos que desencadenan el envío de varios archivos de un mismo proyecto. Los datos enviados incluyen no solo el contenido de los archivos sino también su ubicación, permitiendo reconstruir la estructura completa de un proyecto Visual Studio Code.
Según BleepingComputer, la integración de SDK de analítica en estas extensiones permite recopilar información sobre la actividad de los usuarios, como los archivos consultados o modificados. El proceso de exfiltración continúa mientras las extensiones permanecen activas, haciendo difícil su detección sin una inspección técnica profunda.
Microsoft ha confirmado estar al tanto de los descubrimientos de Koi Security y actualmente está llevando a cabo una investigación. A pesar de ello, las extensiones incriminadas siguen disponibles en el Visual Studio Code Marketplace, lo que plantea preguntas sobre los mecanismos de verificación de las extensiones por parte de la plataforma.
Para los desarrolladores, esta situación pone de relieve la importancia de verificar la seguridad de las herramientas utilizadas en su entorno de trabajo. Es imperativo ser vigilante frente a las extensiones descargadas y mantenerse informado sobre las prácticas de seguridad de las plataformas.
Visual Studio Code, lanzado por Microsoft en 2015, se ha convertido rápidamente en uno de los editores de código más populares gracias a su flexibilidad y su amplio abanico de extensiones. Su marketplace ofrece miles de extensiones que enriquecen la experiencia de los desarrolladores, desde herramientas de productividad hasta integraciones específicas de lenguajes.
Con el auge de la inteligencia artificial, las extensiones basadas en IA, como ChatGPT – 中文版 y ChatMoss, han ganado popularidad al ofrecer funcionalidades avanzadas de completación de código. Sin embargo, este caso subraya la necesidad de que los desarrolladores estén atentos a las implicaciones en materia de seguridad de las herramientas que eligen integrar en sus flujos de trabajo.
Fuente :