Uma campanha furtiva envolvendo 19 extensões no VSCode Marketplace está ativa desde fevereiro, com foco em desenvolvedores, ao esconder malware dentro de pastas de dependências.
A atividade maliciosa foi descoberta recentemente por pesquisadores de segurança, que identificaram o uso de um arquivo malicioso disfarçado de imagem .PNG.
O VSCode Marketplace é o portal oficial da Microsoft para extensões do VSCode, um dos ambientes de desenvolvimento integrados (IDEs) mais populares do mundo.
Ele permite que desenvolvedores ampliem funcionalidades ou personalizem a interface visual da ferramenta.
Devido à sua popularidade e ao potencial para ataques de supply chain de alto impacto, a plataforma é alvo constante de ameaças, com campanhas cada vez mais sofisticadas.
A empresa ReversingLabs, especializada em segurança de arquivos e supply chain, revelou que essas extensões maliciosas são distribuídas já com a pasta ‘node_modules’ incluída.
Essa tática impede que o VSCode baixe dependências do registro npm durante a instalação.
Dentro dessa pasta embutida, o atacante modificou uma dependência legítima, como ‘path-is-absolute’ ou ‘@actions/io’.
Foi acrescentada uma nova classe no arquivo ‘index.js’, que é executada automaticamente sempre que o VSCode é aberto.
Importante destacar que ‘path-is-absolute’ é um pacote npm extremamente popular, com 9 bilhões de downloads desde 2021.
No entanto, a versão infectada existia apenas nessas 19 extensões usadas na campanha.
O código da nova classe em ‘index.js’ decodifica um script JavaScript ofuscado presente em um arquivo chamado ‘lock’.
Outro arquivo na pasta de dependências aparenta ser uma imagem .PNG (banner.png), mas na verdade carrega dois binários maliciosos: um living-off-the-land binary (LoLBin) chamado ‘cmstp.exe’ e um trojan desenvolvido em Rust.
A análise do trojan ainda está em andamento para definir toda a sua funcionalidade.
As 19 extensões envolvidas na campanha apresentavam nomes similares, todas com a versão 1.0.0.
Alguns dos nomes identificados são Malkolm Theme, PandaExpress Theme, Prada 555 Theme e Priskinski Theme.
A ReversingLabs reportou o caso à Microsoft, e o site BleepingComputer confirmou que as extensões foram removidas do Marketplace.
Ainda assim, usuários que instalaram essas extensões devem realizar uma verificação completa em seus sistemas para identificar possíveis sinais de comprometimento.
Diante da constante evolução das técnicas dos cibercriminosos para escapar da detecção em repositórios públicos de software, recomenda-se que os usuários analisem os pacotes cuidadosamente antes de instalá-los, especialmente quando a fonte não for um editor confiável.
É fundamental revisar detalhadamente as dependências, principalmente aquelas incluídas diretamente no pacote, como acontece com as extensões do VSCode, em vez de serem baixadas de fontes confiáveis como o npm.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...