- 9 extensões maliciosas descobertas no VSCode Marketplace
- O malware instala um criptominerador XMRig que minera em segundo plano.
- As extensões pareciam ser ferramentas de desenvolvimento legítimas
- A Microsoft ainda não removeu todas as extensões prejudiciais
O Visual Studio Code, ou simplesmente VSCode, se tornou uma das ferramentas favoritas dos programadores ao redor do mundo. Sua versatilidade e a possibilidade de adicionar funcionalidades por meio de extensões o tornam especialmente atraente.. Mas justamente essa abertura se tornou uma porta de entrada para ameaças cibernéticas que estão se aproveitando da confiança dos usuários.
Nos últimos dias, algumas coisas vieram à tona: Nove extensões no VSCode Marketplace oficial que escondem código malicioso. Embora pareçam ser utilitários legítimos destinados a melhorar a experiência de desenvolvimento, na realidade Eles infectam sistemas com software de criptomineração projetado para explorar furtivamente os recursos do computador.. Essa descoberta levantou preocupações entre a comunidade de desenvolvedores e destaca a necessidade de uma supervisão mais rigorosa desses tipos de plataformas.
Extensões comprometidas no VSCode Marketplace
A descoberta foi feita por Yuval Ronen, pesquisador da plataforma ExtensionTotal, que detectou que uma série de extensões disponíveis no portal da Microsoft para VSCode Eles ativaram um código oculto após serem instalados. Este código permitiu a execução de um script PowerShell que baixou e instalou em segundo plano o criptominerador XMRig, usado em operações ilegais de mineração de criptomoedas como Monero e Ethereum.
O Os pacotes afetados foram lançados em 4 de abril de 2025, e já estavam disponíveis para serem instalados por qualquer usuário sem quaisquer restrições. As extensões Elas foram apresentadas como ferramentas úteis, algumas relacionadas a compiladores de linguagem e outras à inteligência artificial ou utilitários para desenvolvedores.. Abaixo está a lista completa de extensões relatadas:
- Discord Rich Presence para VSCode – por Mark H
- Vermelho – Roblox Studio Sync – por evaera
- Compilador Solidity – por VSCode Developer
- Claude AI – por Mark H
- Compilador Golang – por Mark H
- Agente ChatGPT para VSCode – por Mark H
- HTML Obfuscator – por Mark H
- Python Obfuscator – por Mark H
- Compilador Rust para VSCode – por Mark H
Deve-se notar que algumas dessas extensões teve taxas de descarga surpreendentemente altas; Por exemplo, “Discord Rich Presence” mostrou mais de 189.000 instalações, enquanto “Rojo – Roblox Studio Sync” teve cerca de 117.000. Muitos especialistas em segurança cibernética salientaram que Esses números podem ter sido inflados artificialmente para criar uma aparência de popularidade. e atrair mais usuários desavisados.
No momento dos relatórios públicos, As extensões continuaram disponíveis no Marketplace, o que levou a críticas à Microsoft por sua falta de resposta imediata aos alertas de segurança. O fato de serem instalações de uma fonte oficial torna o problema ainda mais delicado.
Como funciona o ataque: técnicas utilizadas por extensões maliciosas
O processo de infecção começa imediatamente após a instalação da extensão. Nesse ponto, um script do PowerShell é executado e baixado de um endereço externo: https://asdfqq(.)xyz. Esse script é então responsável por executar diversas ações secretas que permitem que o minerador se aninhe no computador afetado.
Uma das primeiras coisas que o script faz é instale a extensão real que o malicioso estava tentando representar. Isso visa evitar suspeitas por parte do usuário que possa notar qualquer diferença na funcionalidade. Enquanto isso, o código continua sendo executado em segundo plano para desabilitar medidas de proteção e abrir caminho para que o minerador de criptomoedas opere sem ser detectado.
Entre as ações mais notáveis do roteiro estão:
- Criando tarefas agendadas disfarçado com nomes legítimos como “OnedriveStartup”.
- Inserção de comandos maliciosos no registro del sistema operativo, garantindo sua persistência durante reinicializações.
- Desativação de serviços básicos de segurança, incluindo Windows Update e Windows Medic.
- Inclusão do diretório do minerador no Lista de exclusão do Windows Defender.
Além disso, se o ataque não tiver sucesso privilégios de administrador Em tempo de execução, ele emprega uma técnica conhecida como “sequestro de DLL” por meio de um arquivo MLANG.dll falso. Essa tática permite que um binário malicioso seja executado imitando um executável de sistema legítimo, como ComputerDefaults.exe, concedendo a ele o nível de permissão necessário para concluir a instalação do minerador.
Uma vez que o sistema é comprometido, um operação de mineração silenciosa de criptomoedas que consomem recursos da CPU sem que o usuário perceba facilmente. Foi confirmado que o servidor remoto também hospeda diretórios como “/npm/”, levantando suspeitas de que essa campanha pode estar se expandindo para outros portais, como o NPM. Embora, até agora, nenhuma evidência concreta tenha sido encontrada nessa plataforma.
O que fazer se você instalou alguma dessas extensões
Se você, ou alguém da sua equipe, instalou alguma das extensões suspeitas, É prioritário eliminá-los do ambiente de trabalho. Simplesmente desinstalá-los do editor não é suficiente, pois muitas das ações executadas pelo script são persistentes e permanecem mesmo após a remoção da extensão.
É melhor seguir estes passos:
- Excluir manualmente tarefas agendadas como “OnedriveStartup”.
- Exclua entradas suspeitas no Registro do Windows relacionado a malware.
- Revise e limpe os diretórios afetados, especialmente aqueles adicionados à lista de exclusão.
- Realizar um verificação completa com ferramentas antivírus atualizadas e considere usar soluções avançadas que detectem comportamento anômalo.
E acima de tudo, aja rápido: embora o principal dano seja o uso não autorizado de recursos do sistema (alto consumo, lentidão, superaquecimento, etc.), Não está descartado que os agressores possam ter aberto outras portas dos fundos..
Este episódio destacou como é fácil explorar a confiança em ambientes de desenvolvimento, mesmo em plataformas tão estabelecidas quanto o VSCode Marketplace oficial. Portanto, os usuários são aconselhados a Verifique cuidadosamente a origem de qualquer extensão antes de instalá-la, priorize aqueles com uma base de usuários verificada e evite novos pacotes de desenvolvedores desconhecidos. A proliferação deste tipo de campanhas maliciosas demonstra uma realidade preocupante: ambientes de desenvolvimento, antes considerados seguros por defeito, Eles também podem se tornar vetores de ataque se protocolos robustos de validação e monitoramento não forem aplicados. Por enquanto, a responsabilidade recai sobre os provedores de plataforma e os próprios desenvolvedores, que devem permanecer vigilantes.
Sou um entusiasta da tecnologia que transformou seus interesses “geek” em profissão. Passei mais de 10 anos da minha vida usando tecnologia de ponta e mexendo em todos os tipos de programas por pura curiosidade. Agora me especializei em informática e videogames. Isto porque há mais de 5 anos escrevo para diversos sites sobre tecnologia e videojogos, criando artigos que procuram dar-lhe a informação que necessita numa linguagem compreensível para todos.
Se você tiver alguma dúvida, meu conhecimento vai desde tudo relacionado ao sistema operacional Windows até Android para celulares. E meu compromisso é com você, estou sempre disposto a dedicar alguns minutos e te ajudar a resolver qualquer dúvida que você possa ter nesse mundo da internet.