Duas extensões maliciosas disponíveis no marketplace do Visual Studio Code (VSCode), da Microsoft, foram instaladas coletivamente 1,5 milhão de vezes e estão exfiltrando dados de desenvolvedores para servidores localizados na China.
Ambas são divulgadas como assistentes de codificação baseados em inteligência artificial, oferecendo as funcionalidades prometidas, mas não informam os usuários sobre o envio dos dados nem solicitam consentimento para transferir informações a servidores remotos.
O marketplace do VS Code é a loja oficial de add-ons do popular editor de código da Microsoft.
Extensões são plugins que agregam funcionalidades ou integram ferramentas ao editor, sendo que uma das categorias mais populares atualmente são os assistentes de codificação com inteligência artificial.
Pesquisadores da Koi, especializada em segurança de endpoints e cadeia de suprimentos, identificaram que as duas extensões fazem parte de uma campanha denominada ‘MaliciousCorgi’.
Ambas compartilham o mesmo código para roubo de dados de desenvolvedores, utilizam a mesma infraestrutura de spyware e se comunicam com os mesmos servidores de backend.
No momento da publicação, as extensões continuam disponíveis no marketplace:
- **ChatGPT – 中文版** (publisher: WhenSunset, 1,34 milhão de instalações)
- **ChatMoss (CodeMoss)** (publisher: zhukunpeng, 150 mil instalações)
Essas extensões adotam três métodos distintos para a coleta de dados.
O primeiro consiste no monitoramento em tempo real dos arquivos abertos no cliente VS Code.
Assim que um arquivo é acessado, seu conteúdo completo é codificado em Base64 e transmitido aos servidores dos invasores.
Alterações feitas no arquivo aberto também são capturadas e enviadas.
Segundo os pesquisadores da Koi: “No momento em que você abre qualquer arquivo – sem precisar interagir, basta abrir – a extensão lê todo o seu conteúdo, codifica como Base64 e envia para uma webview contendo um iframe oculto para rastreamento.
Não são 20 linhas, é o arquivo inteiro.”
O segundo método envolve um comando controlado pelo servidor que permite o envio oculto de até 50 arquivos do workspace da vítima por vez.
Já o terceiro usa um iframe invisível dentro da webview da extensão para carregar quatro SDKs comerciais de analytics: Zhuge.io, GrowingIO, TalkingData e Baidu Analytics.
Esses SDKs são empregados para monitorar o comportamento do usuário, criar perfis de identidade, identificar dispositivos e rastrear atividades dentro do editor.
Enquanto os dois primeiros métodos coletam arquivos de trabalho dos desenvolvedores, o terceiro é focado no profiling do usuário.
A Koi Security alerta para os riscos dessa funcionalidade não documentada nas extensões, que inclui exposição de código-fonte privado, arquivos de configuração, credenciais de serviços em nuvem e arquivos .env contendo chaves de API e senhas.
Também não foi possível estabelecer comunicação com os desenvolvedores responsáveis pelas extensões.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...