Ransomware disfarçado de extensões VSCode
21 de Março de 2025

Duas extensões maliciosas encontradas no VSCode Marketplace estavam implantando um ransomware ainda em desenvolvimento, revelando falhas críticas no processo de revisão da Microsoft.

As extensões, nomeadas como "ahban.shiba" e "ahban.cychelloworld", foram baixadas sete e oito vezes, respectivamente, antes de serem finalmente removidas da loja.

É notável que as extensões foram carregadas no VSCode Marketplace em 27 de outubro de 2024 (ahban.cychelloworld) e 17 de fevereiro de 2025 (ahban.shiba), contornando os processos de revisão de segurança e permanecendo na loja da Microsoft por um extenso período de tempo.

O VSCode Marketplace é uma plataforma online onde os desenvolvedores podem encontrar, instalar e compartilhar extensões para o Visual Studio Code (VSCode).

É amplamente utilizado por desenvolvedores de software e web, cientistas de dados e programadores.

A ReversingLabs descobriu que as duas extensões contêm um comando PowerShell que baixa e executa outro script PS que atua como ransomware de um servidor remoto hospedado na Amazon AWS.

O ransomware está claramente em desenvolvimento ou em fase de teste, pois só criptografa arquivos na pasta C:\users\%username%\Desktop\testShiba e não afeta quaisquer outros arquivos.

Ao terminar de criptografar os arquivos, o script exibirá um alerta do Windows dizendo: "Seus arquivos foram criptografados. Pague 1 ShibaCoin para ShibaWallet para recuperá-los."
Não são fornecidas notas de resgate ou mais instruções, como em ataques de ransomware normais.

A ReversingLabs afirma que a Microsoft rapidamente removeu as duas extensões do VSCode Marketplace após os pesquisadores as denunciarem.

No entanto, o pesquisador de segurança da ExtensionTotal, Italy Kruk, disse que seu scanner automatizado capturou as extensões anteriormente e informou a Microsoft há algum tempo, sem receber resposta.

Kruk explica que ahban.cychelloworld não era maliciosa em seu primeiro upload.

Ele adicionou o código de ransomware em sua segunda submissão, versão 0.0.2, que foi aceita no VSCode Marketplace em 24 de novembro de 2024.

"Reportamos ahban.cychelloworld à Microsoft em 25 de novembro de 2024, via um relatório automático gerado por nosso scanner," disse Kruk.

É possível que, devido ao baixo número de instalações para a extensão ofensiva, a Microsoft não tenha priorizado sua revisão.

Desde então, a extensão ahban.cychelloworld teve mais cinco lançamentos, todos contendo o código malicioso e sendo aceitos na loja da Microsoft.

O fato de as extensões baixarem e executarem scripts remotos PowerShell e poderem permanecer não detectadas por quase quatro meses demonstra uma lacuna preocupante no processo de revisão da Microsoft.

Embora neste caso a Microsoft tenha falhado em reagir por meses, a empresa fez o oposto recentemente, removendo temas do VSCode usados por 9 milhões de usuários muito rapidamente depois de serem relatados por código ofuscado suspeito.

Embora temas do VSCode não devam usar JavaScript ofuscado, as extensões 'Material Theme – Free' e 'Material Theme Icons – Free' foram posteriormente comprovadas como não maliciosas.

A Microsoft pediu desculpas pela remoção e banimento injustificados de seus publicadores e disse que atualizaria seus "scanners e processo de investigação para reduzir a probabilidade de outro evento como este."

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...