Extensões maliciosas do Microsoft VSCode roubam senhas e abrem shells remotos
18 de Maio de 2023

Criminosos virtuais estão começando a mirar no Marketplace do VSCode da Microsoft, fazendo o upload de três extensões maliciosas do Visual Studio que foram baixadas 46.600 vezes por desenvolvedores do Windows.

De acordo com a Check Point, cujos analistas descobriram as extensões maliciosas e as reportaram à Microsoft, o malware permitiu que atores de ameaças roubassem credenciais, informações do sistema e estabelecessem um shell remoto na máquina da vítima.

As extensões foram descobertas e reportadas em 4 de maio de 2023 e subsequentemente removidas do marketplace do VSCode em 14 de maio de 2023.

No entanto, qualquer desenvolvedor de software que ainda esteja usando as extensões maliciosas precisa removê-las manualmente de seus sistemas e executar uma varredura completa para detectar quaisquer vestígios da infecção.

O Visual Studio Code (VSC) é um editor de código-fonte publicado pela Microsoft e usado por uma porcentagem significativa de desenvolvedores de software profissionais em todo o mundo.

A Microsoft também opera um mercado de extensões para o IDE chamado VSCode Marketplace, que oferece mais de 50.000 add-ons que ampliam a funcionalidade do aplicativo e fornecem mais opções de personalização.

As extensões maliciosas descobertas pelos pesquisadores da Check Point são as seguintes: A Check Point também encontrou várias extensões suspeitas, que não puderam ser caracterizadas como maliciosas com certeza, mas demonstraram comportamento inseguro, como buscar código de repositórios privados ou baixar arquivos.

Repositórios de software que permitem contribuições do usuário, como NPM e PyPi, têm se mostrado arriscados de usar, pois se tornaram um alvo popular para atores de ameaças.

Embora o Marketplace do VSCode esteja apenas começando a ser alvo, a AquaSec demonstrou em janeiro que era bastante fácil fazer upload de extensões maliciosas para o VSCode Marketplace e apresentou alguns casos altamente suspeitos.

No entanto, eles não conseguiram encontrar nenhum malware.

Os casos descobertos pela Check Point demonstram que atores de ameaças estão agora tentando ativamente infectar desenvolvedores do Windows com envios maliciosos, exatamente como fazem em outros repositórios de software, como o NPM e o PyPI.

Os usuários do Marketplace do VSCode e de todos os repositórios suportados por usuários são aconselhados a instalar somente extensões de editores confiáveis com muitos downloads e classificações da comunidade, ler avaliações de usuários e sempre inspecionar o código-fonte da extensão antes de instalá-la.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...