Criminosos virtuais estão começando a mirar no Marketplace do VSCode da Microsoft, fazendo o upload de três extensões maliciosas do Visual Studio que foram baixadas 46.600 vezes por desenvolvedores do Windows.
De acordo com a Check Point, cujos analistas descobriram as extensões maliciosas e as reportaram à Microsoft, o malware permitiu que atores de ameaças roubassem credenciais, informações do sistema e estabelecessem um shell remoto na máquina da vítima.
As extensões foram descobertas e reportadas em 4 de maio de 2023 e subsequentemente removidas do marketplace do VSCode em 14 de maio de 2023.
No entanto, qualquer desenvolvedor de software que ainda esteja usando as extensões maliciosas precisa removê-las manualmente de seus sistemas e executar uma varredura completa para detectar quaisquer vestígios da infecção.
O Visual Studio Code (VSC) é um editor de código-fonte publicado pela Microsoft e usado por uma porcentagem significativa de desenvolvedores de software profissionais em todo o mundo.
A Microsoft também opera um mercado de extensões para o IDE chamado VSCode Marketplace, que oferece mais de 50.000 add-ons que ampliam a funcionalidade do aplicativo e fornecem mais opções de personalização.
As extensões maliciosas descobertas pelos pesquisadores da Check Point são as seguintes: A Check Point também encontrou várias extensões suspeitas, que não puderam ser caracterizadas como maliciosas com certeza, mas demonstraram comportamento inseguro, como buscar código de repositórios privados ou baixar arquivos.
Repositórios de software que permitem contribuições do usuário, como NPM e PyPi, têm se mostrado arriscados de usar, pois se tornaram um alvo popular para atores de ameaças.
Embora o Marketplace do VSCode esteja apenas começando a ser alvo, a AquaSec demonstrou em janeiro que era bastante fácil fazer upload de extensões maliciosas para o VSCode Marketplace e apresentou alguns casos altamente suspeitos.
No entanto, eles não conseguiram encontrar nenhum malware.
Os casos descobertos pela Check Point demonstram que atores de ameaças estão agora tentando ativamente infectar desenvolvedores do Windows com envios maliciosos, exatamente como fazem em outros repositórios de software, como o NPM e o PyPI.
Os usuários do Marketplace do VSCode e de todos os repositórios suportados por usuários são aconselhados a instalar somente extensões de editores confiáveis com muitos downloads e classificações da comunidade, ler avaliações de usuários e sempre inspecionar o código-fonte da extensão antes de instalá-la.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...