Um grupo de cibercriminosos chamado WhiteCobra tem como alvo usuários dos editores de código VSCode, Cursor e Windsurf, infilitrando 24 extensões maliciosas no Visual Studio Marketplace e no registro Open VSX.
A campanha está em andamento, com o grupo constantemente enviando novos códigos maliciosos para substituir extensões removidas pelas plataformas.
Em uma publicação pública, o desenvolvedor principal da Ethereum, Zak Cole, relatou que sua carteira de criptomoedas foi esvaziada após usar uma extensão aparentemente legítima chamada contractshark.solidity-lang, disponível para o editor de código Cursor.
Cole destacou que a extensão exibía todos os sinais de um produto confiável: ícone profissional, descrição detalhada e mais de 54.000 downloads no OpenVSX, registro oficial do Cursor.
De acordo com a empresa de segurança Koi, WhiteCobra é o mesmo grupo responsável por um roubo de US$ 500 mil em criptomoedas ocorrido em julho, através de uma extensão falsa também para o editor Cursor.
VSCode, Cursor e Windsurf são editores que suportam extensões no formato VSIX, padrão para pacotes publicados tanto no Marketplace do VS Code quanto na plataforma OpenVSX.
Essa compatibilidade cruzada, aliada à falta de uma revisão rigorosa no processo de submissão, torna esses ambientes ideais para que atacantes ampliem o alcance das campanhas maliciosas.
Conforme investigações da Koi Security, as extensões criadas por WhiteCobra aparentam ser legítimas graças a descrições bem elaboradas e números inflados de downloads.
Segue a lista de extensões identificadas na última campanha do grupo:
No Open VSX (Cursor/Windsurf):
- ChainDevTools.solidity-pro
- kilocode-ai.kilo-code
- nomic-fdn.hardhat-solidity
- oxc-vscode.oxc
- juan-blanco.solidity
- kineticsquid.solidity-ethereum-vsc
- ETHFoundry.solidityethereum
- JuanFBlanco.solidity-ai-ethereum
- Ethereum.solidity-ethereum
- juan-blanco.solidity
- NomicFdn.hardhat-solidity
- juan-blanco.vscode-solidity
- nomic-foundation.hardhat-solidity
- nomic-fdn.solidity-hardhat
- Crypto-Extensions.solidity
- Crypto-Extensions.SnowShsoNo
No VS Code Marketplace:
- JuanFBlanco.awswhh
- ETHFoundry.etherfoundrys
- EllisonBrett.givingblankies
- MarcusLockwood.wgbk
- VitalikButerin-EthFoundation.blan-co
- ShowSnowcrypto.SnowShoNo
- Crypto-Extensions.SnowShsoNo
- Rojo.rojo-roblox-vscode
O roubo das carteiras começa com a execução do arquivo principal (extension.js), que, segundo os pesquisadores, é quase idêntico ao boilerplate padrão “Hello World” usado na maioria das extensões para VSCode.
No entanto, há uma chamada simples que adia a execução para um script secundário (prompt.js), que baixa a próxima carga maliciosa hospedada no Cloudflare Pages.
Esse payload é específica para cada sistema, com versões para Windows, macOS ARM e macOS Intel.
No Windows, um script PowerShell executa um código Python que dispara um shellcode para ativar o malware LummaStealer.
O LummaStealer é um malware do tipo info-stealer que rouba dados de aplicativos de carteira de criptomoedas, extensões de navegador, credenciais armazenadas em browsers e informações de apps de mensagens.
No macOS, o payload é um binário Mach-O malicioso que executa localmente para carregar uma família de malware ainda não identificada.
O manual interno do WhiteCobra revela que o grupo define metas de receita entre US$ 10 mil e US$ 500 mil por operação, fornece guias para montar infraestrutura de comando e controle (C2) e detalha estratégias de engenharia social e promoção para suas campanhas.
Isso demonstra que o grupo atua de forma bastante organizada e não se intimida com exposições ou derrubadas.
Segundo a Koi Security, o WhiteCobra é capaz de lançar uma nova campanha em menos de três horas.
Os especialistas alertam para a necessidade de mecanismos de verificação mais eficazes, que consigam diferenciar extensões maliciosas de legítimas.
Avaliações, número de downloads e reviews podem ser facilmente manipulados para criar uma falsa sensação de confiança.
Entre as recomendações gerais ao baixar extensões de código, está o cuidado com tentativas de impersonação e typosquatting.
A dica é preferir projetos conhecidos e com histórico confiável, desconfiando especialmente de novos projetos que de repente concentram muitos downloads e avaliações positivas em curto período.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...