Asistente de IA que da malos consejos: Cursor intenta colar un troyano a los usuarios haciéndolo pasar por una herramienta útil
Criminales informáticos podrían haber ocupado espacios de nombres sin reclamar en OpenVSX para distribuir extensiones maliciosas a través de IDEs.
IDE populares con asistentes de IA como Cursor, Windsurf, Google Antigravity y Trae resultaron vulnerables a un ataque a la cadena de suministro. Muestran a los usuarios recomendaciones para instalar extensiones que no existen en el catálogo OpenVSX. El problema es que cualquiera puede ocupar esos nombres vacantes subiendo allí una extensión maliciosa bajo una marca de confianza.
Estos entornos de desarrollo están construidos sobre la bifurcación Microsoft VSCode, pero por licencia no pueden utilizar la tienda oficial de extensiones Visual Studio Marketplace. Por eso dependen de OpenVSX, una alternativa abierta para extensiones compatibles. Y aquí actúa el legado de VSCode: en la configuración de estos IDE ya está incluido un listado de extensiones recomendadas oficialmente, pensado originalmente para la tienda de Microsoft y no para OpenVSX.
Las recomendaciones aparecen de dos maneras. La primera está relacionada con los archivos. Por ejemplo, si un desarrollador abre azure-pipelines.yaml, el IDE sugiere instalar la extensión Azure Pipelines. La segunda depende del entorno: si el programa detecta que en el sistema está instalado PostgreSQL, puede sugerir instalar una extensión para trabajar con esa base de datos.
Como señalan los especialistas de Koi, no todas las extensiones del listado de recomendaciones existen realmente en OpenVSX. Eso significa que los espacios de nombres de los editores en el registro pueden estar libres. Según los expertos, un atacante puede aprovechar la confianza en las sugerencias dentro del IDE. Basta con registrar un nombre libre y subir allí una extensión maliciosa. Para el usuario, parecerá una oferta lógica y habitual de la propia herramienta de desarrollo.
El problema fue comunicado a Google, Windsurf y Cursor a finales de noviembre de 2025. Cursor, según se afirma, solucionó la vulnerabilidad el 1 de diciembre. Google eliminó 13 recomendaciones el 26 de diciembre y el 1 de enero marcó el problema como resuelto. Windsurf no ofreció retroalimentación a los investigadores de Koi sobre el asunto.
Para reducir el riesgo de explotación, el equipo de Koi ocupó varios espacios de nombres potencialmente peligrosos y subió allí "marcadores" que no hacen nada, pero bloquean la posibilidad de suplantación. Se trata de los siguientes identificadores de extensión: ms-ossdata.vscode-postgresql, ms-azure-devops.azure-pipelines, msazurermtools.azurerm-vscode-tools, usqlextpublisher.usql-vscode-ext, cake-build.cake-vscode y pkosta2005.heroku-command. Los investigadores también trabajaron con Eclipse Foundation, que gestiona OpenVSX, para comprobar los espacios de nombres restantes mencionados, eliminar participantes no oficiales e implementar medidas de protección más amplias a nivel del registro.
No hay indicios de que los atacantes hayan aprovechado esta brecha antes de que los investigadores la detectaran y se tomaran medidas. Pero se aconseja a los usuarios de IDE basados en forks de VSCode que traten las recomendaciones de extensiones con cautela. Es mejor abrir manualmente la página de la extensión en OpenVSX y verificar quién es el editor y si parece lo suficientemente fiable.