Duas extensões maliciosas disponíveis no marketplace do Visual Studio Code da Microsoft foram identificadas infectando máquinas de desenvolvedores com um malware rouba-informações capaz de capturar screenshots, roubar credenciais, carteiras de criptomoedas e sequestrar sessões de navegador.
O marketplace do VS Code oferece extensões para ampliar funcionalidades ou personalizar o ambiente de desenvolvimento integrado (IDE) mais popular entre programadores.
As duas extensões maliciosas, batizadas de Bitcoin Black e Codo AI, disfarçam-se como um tema de cores e um assistente com inteligência artificial, respectivamente.
Ambas foram publicadas por um desenvolvedor identificado como "BigBlack".
No momento desta análise, o Codo AI ainda estava disponível no marketplace, com menos de 30 downloads, enquanto o Bitcoin Black apresentava apenas uma instalação.
De acordo com a empresa de segurança Koi Security, a extensão Bitcoin Black possui um evento de ativação "*" que é executado a cada ação do VS Code — comportamento incomum para um tema visual e que deveria levantar suspeitas.
Além disso, ela executa código PowerShell, o que não seria necessário para um tema.
Em versões antigas, o Bitcoin Black utilizava um script PowerShell para baixar um payload compactado e protegido por senha, o que fazia surgir uma janela visível do PowerShell, podendo alertar o usuário.
Nas versões mais recentes, o método foi alterado para um script batch (bat.sh) que utiliza o curl para baixar um arquivo DLL e um executável, com a janela oculta durante o processo.
Idan Dardikman, pesquisador da Koi Security, destaca que o Codo AI apresenta funcionalidades legítimas de auxílio por inteligência artificial, utilizando ChatGPT ou DeepSeek, mas inclui um módulo malicioso embutido.
Ambas as extensões entregam um executável legítimo da ferramenta Lightshot para capturas de tela, junto com um arquivo DLL malicioso que é carregado por meio da técnica de DLL hijacking, permitindo a execução do infostealer identificado como runtime.exe.
Esse DLL malicioso foi detectado como ameaça por 29 dos 72 mecanismos antivírus analisados no VirusTotal, conforme relatório divulgado pela Koi Security.
O malware cria uma pasta em ‘%APPDATA%\Local\Evelyn’ para armazenar os dados roubados, que incluem detalhes de processos em execução, conteúdo da área de transferência, credenciais Wi-Fi, informações do sistema, screenshots, lista de programas instalados e processos ativos.
Para roubar cookies e sequestrar sessões de usuários, o malware executa os navegadores Chrome e Edge em modo headless, capturando cookies armazenados para assumir o controle das sessões.
Além disso, o código malicioso também busca carteiras de criptomoedas como Phantom, Metamask e Exodus, além de procurar por senhas e outras credenciais.
Ataques por meio de extensões maliciosas no VS Code não são inéditos e já foram registrados em plataformas que distribuem plugins para esse IDE e similares, como o OpenVSX.
Uma das campanhas mais notórias foi a Glassworm.
Para reduzir os riscos de instalar extensões maliciosas, desenvolvedores devem preferir projetos publicados apenas por fontes reputadas e confiáveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...