Duas extensões maliciosas encontradas no VSCode Marketplace estavam implantando um ransomware ainda em desenvolvimento, revelando falhas críticas no processo de revisão da Microsoft.
As extensões, nomeadas como "ahban.shiba" e "ahban.cychelloworld", foram baixadas sete e oito vezes, respectivamente, antes de serem finalmente removidas da loja.
É notável que as extensões foram carregadas no VSCode Marketplace em 27 de outubro de 2024 (ahban.cychelloworld) e 17 de fevereiro de 2025 (ahban.shiba), contornando os processos de revisão de segurança e permanecendo na loja da Microsoft por um extenso período de tempo.
O VSCode Marketplace é uma plataforma online onde os desenvolvedores podem encontrar, instalar e compartilhar extensões para o Visual Studio Code (VSCode).
É amplamente utilizado por desenvolvedores de software e web, cientistas de dados e programadores.
A ReversingLabs descobriu que as duas extensões contêm um comando PowerShell que baixa e executa outro script PS que atua como ransomware de um servidor remoto hospedado na Amazon AWS.
O ransomware está claramente em desenvolvimento ou em fase de teste, pois só criptografa arquivos na pasta C:\users\%username%\Desktop\testShiba e não afeta quaisquer outros arquivos.
Ao terminar de criptografar os arquivos, o script exibirá um alerta do Windows dizendo: "Seus arquivos foram criptografados. Pague 1 ShibaCoin para ShibaWallet para recuperá-los."
Não são fornecidas notas de resgate ou mais instruções, como em ataques de ransomware normais.
A ReversingLabs afirma que a Microsoft rapidamente removeu as duas extensões do VSCode Marketplace após os pesquisadores as denunciarem.
No entanto, o pesquisador de segurança da ExtensionTotal, Italy Kruk, disse que seu scanner automatizado capturou as extensões anteriormente e informou a Microsoft há algum tempo, sem receber resposta.
Kruk explica que ahban.cychelloworld não era maliciosa em seu primeiro upload.
Ele adicionou o código de ransomware em sua segunda submissão, versão 0.0.2, que foi aceita no VSCode Marketplace em 24 de novembro de 2024.
"Reportamos ahban.cychelloworld à Microsoft em 25 de novembro de 2024, via um relatório automático gerado por nosso scanner," disse Kruk.
É possível que, devido ao baixo número de instalações para a extensão ofensiva, a Microsoft não tenha priorizado sua revisão.
Desde então, a extensão ahban.cychelloworld teve mais cinco lançamentos, todos contendo o código malicioso e sendo aceitos na loja da Microsoft.
O fato de as extensões baixarem e executarem scripts remotos PowerShell e poderem permanecer não detectadas por quase quatro meses demonstra uma lacuna preocupante no processo de revisão da Microsoft.
Embora neste caso a Microsoft tenha falhado em reagir por meses, a empresa fez o oposto recentemente, removendo temas do VSCode usados por 9 milhões de usuários muito rapidamente depois de serem relatados por código ofuscado suspeito.
Embora temas do VSCode não devam usar JavaScript ofuscado, as extensões 'Material Theme – Free' e 'Material Theme Icons – Free' foram posteriormente comprovadas como não maliciosas.
A Microsoft pediu desculpas pela remoção e banimento injustificados de seus publicadores e disse que atualizaria seus "scanners e processo de investigação para reduzir a probabilidade de outro evento como este."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...