Nove extensões do VSCode no Marketplace do Visual Studio Code da Microsoft se passam por ferramentas legítimas de desenvolvimento enquanto infectam usuários com o XMRig cryptominer para minerar Ethereum e Monero.
O Microsoft VSCode é um editor de código popular que permite aos usuários instalar extensões para ampliar a funcionalidade do programa.
Essas extensões podem ser baixadas do VSCode Marketplace da Microsoft, um hub online para desenvolvedores encontrarem e instalarem complementos.
O pesquisador da ExtensionTotal, Yuval Ronen, descobriu nove extensões do VSCode publicadas no portal da Microsoft em 4 de abril de 2025.
Os nomes dos pacotes são:
- Discord Rich Presence para VS Code (por `Mark H`) - 189K Instalações
- Rojo – Roblox Studio Sync (por `evaera`) - 117K Instalações
- Solidity Compiler (por `VSCode Developer`) - 1.3K Instalações
- Claude AI (por `Mark H`)
- Golang Compiler (por `Mark H`)
- ChatGPT Agent para VSCode (por `Mark H`)
- HTML Obfuscator (por `Mark H`)
- Python Obfuscator para VSCode (por `Mark H`)
- Rust Compiler para VSCode (por `Mark H`)
O marketplace mostra que as extensões já acumularam mais de 300.000 instalações desde 4 de abril.
Esses números provavelmente são artificialmente inflados para dar às extensões uma sensação de legitimidade e popularidade para atrair outros a instalá-las.
ExtensionTotal diz que reportou as extensões maliciosas para a Microsoft, mas ainda estavam disponíveis no momento da redação.
Quando instaladas e ativadas, as extensões maliciosas buscam um script PowerShell de uma fonte externa em 'https://asdf11[.]xyz/' e executam-no.
Ao terminarem, também instalam a extensão legítima que estão se passando, para que o usuário infectado não se torne suspeito.
O script PowerShell malicioso executa múltiplas funções, como desativar defesas, estabelecer persistência, escalar privilégios e, eventualmente, carregar o cryptominer.
Primeiro, cria uma tarefa agendada disfarçada de "OnedriveStartup" e injeta um script no Registro do Windows para garantir que o malware (Launcher.exe) seja executado na inicialização do sistema.
Em seguida, desliga serviços críticos do Windows como o Windows Update e o Update Medic e adiciona seu diretório de trabalho à lista de exclusões do Windows Defender para evitar detecção.
Se o malware não foi executado com direitos de admin, ele imita um binário do sistema (ComputerDefaults.exe) e realiza DLL hijacking usando um MLANG.dll malicioso para elevar privilégios e executar o payload Launcher.exe.
O executável, que vem em forma codificada em base64, é decodificado pelo script PowerShell para se conectar com um servidor secundário em myaunet[.]su para baixar e executar o XMRig, um minerador de criptomoeda Monero.
Foi descoberto que o servidor remoto do ator da ameaça também possui uma pasta /npm/, indicando potencialmente que a campanha está ativa nesse índice de pacote também.
No entanto, não conseguimos encontrar os arquivos maliciosos na plataforma NPM.
Se você instalou alguma das nove extensões mencionadas no relatório da ExtensionTotal, você deve removê-las imediatamente e depois localizar e deletar manualmente o minerador de moedas, tarefas agendadas, chave do registro e diretório de malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...