Nove extensões maliciosas VSCode foram recentemente descobertas e removidas da Visual Studio Code Marketplace, que se faziam passar por ferramentas legítimas, quando na realidade estariam a infetar os sistemas dos programadores com ferramentas para minerar criptomoedas.
O VSCode da Microsoft é um popular editor de código, que permite alargar as suas capacidades com o uso de extensões – de forma similar a como existem extensões para os navegadores mais recentes. Estas podem ser descarregadas da VSCode Marketplace, que integra um conjunto de listas de extensões úteis, que os programadores podem também partilhar com a comunidade.
No entanto, estas extensões podem ser enviadas por qualquer um, o que abre as portas para que utilizadores maliciosos possam enviar as mesmas com conteúdos que prejudicam a comunidade e os sistemas. O investigador Yuval Ronen revelou recentemente ter descoberto nove extensões deste formato na plataforma.
A lista de extensões maliciosas integra:
- Discord Rich Presence for VS Code (by `Mark H`)
- Rojo – Roblox Studio Sync (by `evaera`)
- Solidity Compiler (by `VSCode Developer`)
- Claude AI (by `Mark H`)
- Golang Compiler (by `Mark H`)
- ChatGPT Agent for VSCode (by `Mark H`)
- HTML Obfuscator (by `Mark H`)
- Python Obfuscator for VSCode (by `Mark H`)
- Rust Compiler for VSCode (by `Mark H`)
Estas extensões do VSCode foram publicadas na plataforma da Microsoft a 4 de Abril de 2025. Algumas contavam com mais de 189 mil instalações, num total combinado de 300 mil instalações desde o dia 4 de Abril.
Embora os valores sejam elevados, acredita-se que tenham sido inflacionados para fornecer uma ideia de legitimidade às mesmas, em parte porque foram valores elevados num relativo curto espaço de tempo. Mas isto torna mais complicado identificar o número concreto de sistemas potencialmente afetados.
Se instaladas, as extensões eram depois usadas para instalar um minerador XMRig, que usavam os recursos do sistema das vítimas para minerar diversas criptomoedas, enviando os ganhos para as carteiras dos atacantes.
Além disso, as extensões tinham ainda partes do código focadas em realizar outras ações, como desativar os sistemas de segurança, criarem formas de se manterem no sistema mesmo ao serem detetadas, ou elevar os privilégios.
Embora a Microsoft tenha rapidamente removido as extensões depois de terem sido descobertas, os utilizadores que as possam ter instalado devem manualmente remover as mesmas do sistema, e realizar uma verificação do mesmo por potencial malware.
Nenhum comentário
Seja o primeiro!