Um grupo de ameaça chamado TigerJack tem como alvo constante desenvolvedores por meio de extensões maliciosas publicadas no marketplace Visual Studio Code (VSCode), da Microsoft, e no registro OpenVSX. O objetivo do grupo é o roubo de criptomoedas e a instalação de backdoors.
Duas dessas extensões, removidas do VSCode após acumularem cerca de 17 mil downloads, ainda estão disponíveis no OpenVSX.
Além disso, o TigerJack reapresenta o mesmo código malicioso sob novos nomes no marketplace do VSCode, dificultando sua remoção definitiva.
O OpenVSX é um marketplace de extensões mantido pela comunidade, aberto e independente da Microsoft, funcionando como uma alternativa vendor-neutral.
Ele é a plataforma padrão para editores compatíveis com o VSCode que enfrentam restrições técnicas ou legais para usar o ambiente oficial, como os editores Cursor e Windsurf.
A campanha foi identificada pela equipe da Koi Security, que detectou a distribuição de pelo menos 11 extensões maliciosas desde o início do ano.
Entre elas, duas extensões — C++ Playground e HTTP Format — foram removidas da loja oficial, mas continuam disponíveis e ainda ressurgem sob novas contas no VSCode, segundo os pesquisadores.
Ao ser executada, a extensão C++ Playground ativa um listener para arquivos C++ chamado ‘onDidChangeTextDocument’.
Esse componente monitora alterações no código e exfiltra o conteúdo para diversos servidores externos em até 500 milissegundos após cada edição, capturando praticamente em tempo real o que é digitado.
Já o HTTP Format funciona conforme prometido, mas, de forma oculta, executa um minerador de criptomoedas CoinIMP em segundo plano.
Ele utiliza credenciais e configurações embutidas para explorar o poder de processamento da máquina hospedeira, minerando sem restrições e consumindo toda a capacidade disponível.
Outro grupo de extensões maliciosas do TigerJack — incluindo cppplayground, httpformat e pythonformat — faz download e execução de código JavaScript a partir de um endereço fixo (ab498[.]pythonanywhere[.]com/static/in4.js) a cada 20 minutos.
Isso permite que o atacante execute código arbitrário no sistema infectado sem precisar atualizar as extensões.
Segundo a Koi Security, esse tipo de ataque é ainda mais perigoso, pois permite ao invasor enviar cargas maliciosas remotamente a qualquer momento.
Entre as possibilidades estão o roubo de credenciais e chaves de API, a implantação de ransomware, a transformação das máquinas dos desenvolvedores em pontos de entrada para redes corporativas, a inserção de backdoors em projetos e até o monitoramento em tempo real das atividades dos usuários.
Os pesquisadores descrevem a operação TigerJack como uma “coordenação multi-conta”, que utiliza a aparência de desenvolvedores independentes com histórico crível, como repositórios no GitHub, identidade visual, listas detalhadas de funcionalidades e nomes semelhantes aos de ferramentas legítimas.
Apesar de o problema ter sido reportado à equipe do OpenVSX, o mantenedor do registro não havia respondido até a publicação da reportagem, e as extensões maliciosas continuam disponíveis para download.
Para os desenvolvedores que usam esses marketplaces como fonte de software, a recomendação é priorizar o download apenas de extensões de publicadores reconhecidos e confiáveis, garantindo assim maior segurança no ambiente de desenvolvimento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...