Um novo alerta de segurança está a preocupar a comunidade de desenvolvimento de software. Um grupo de cibercriminosos, conhecido como WhiteCobra, está a visar utilizadores de editores de código populares como o VSCode, Cursor e Windsurf, através de extensões maliciosas que roubam credenciais e fundos de carteiras de criptomoedas.
A campanha é persistente e bem elaborada, com os atacantes a substituírem continuamente as extensões removidas por novas versões maliciosas. O caso de Zak Cole, um programador central do ecossistema Ethereum, trouxe a ameaça para o centro das atenções. Numa publicação na rede social X, Cole descreveu como a sua carteira foi esvaziada após instalar uma extensão aparentemente legítima, que contava com um ícone profissional, uma descrição detalhada e mais de 54.000 downloads.
Uma campanha sofisticada e contínua
Segundo os investigadores da empresa de segurança Koi Security, o grupo WhiteCobra é o mesmo responsável por um roubo de 500.000 dólares em criptomoedas em julho, utilizando uma tática semelhante. A campanha atual envolve pelo menos 24 extensões fraudulentas distribuídas no Visual Studio Marketplace e no registo Open VSX, a plataforma oficial para o editor Cursor.
A compatibilidade de extensões VSIX entre estas plataformas, aliada a uma verificação de submissão insuficiente, cria um terreno fértil para estes ataques. Os cibercriminosos criam páginas de extensões que parecem totalmente legítimas, inflando artificialmente o número de downloads para gerar um falso sentimento de confiança.
As extensões maliciosas identificadas pela Koi Security incluem:
No Open-VSX (Cursor/Windsurf): ChainDevTools.solidity-pro, kilo-code da kilocode-ai, hardhat-solidity da nomic-fdn, oxc da oxc-vscode, solidity da juan-blanco, solidity-ethereum-vsc da kineticsquid, solidityethereum da ETHFoundry, solidity-ai-ethereum da JuanFBlanco, solidity-ethereum da Ethereum, vscode-solidity da juan-blanco, solidity-hardhat da nomic-fdn e solidity da Crypto-Extensions, entre outras.
No VS Code Marketplace: awswhh da JuanFBlanco, etherfoundrys da ETHFoundry, givingblankies da EllisonBrett, wgbk da MarcusLockwood, blan-co da VitalikButerin-EthFoundation, SnowShoNo da ShowSnowcrypto, SnowShsoNo da Crypto-Extensions e rojo-roblox-vscode da Rojo.
Como funciona o ataque
O processo de infeção é subtil. Após a instalação, o ficheiro principal da extensão (extension.js) aparenta ser um código inofensivo, semelhante aos modelos padrão. No entanto, uma pequena chamada delega a execução para um segundo script (prompt.js), que descarrega a verdadeira carga maliciosa a partir do Cloudflare Pages.
Este payload é adaptado ao sistema operativo do utilizador, com versões para Windows, macOS em processadores ARM e macOS em Intel. No Windows, um script PowerShell executa um script Python que, por sua vez, lança o malware LummaStealer. Este software é conhecido por roubar informações de carteiras de criptomoedas, extensões de navegador, credenciais guardadas e dados de aplicações de mensagens. Nos sistemas macOS, o ataque utiliza um binário Mach-O malicioso que carrega uma família de malware ainda não identificada.
Como pode proteger-se
O grupo WhiteCobra opera de forma altamente organizada, com manuais internos que definem metas de lucro entre 10.000 e 500.000 dólares e detalham estratégias de engenharia social. A sua capacidade de lançar uma nova campanha em menos de três horas torna a ameaça ainda mais séria.
Para os programadores, a recomendação é ter a máxima cautela ao instalar novas extensões. É crucial verificar a autenticidade do projeto, desconfiar de nomes que imitam extensões populares (typosquatting) e ser cético em relação a projetos novos que acumulam um número elevado de downloads e críticas positivas num curto espaço de tempo. A segurança do ambiente de desenvolvimento nunca foi tão importante.
Nenhum comentário
Seja o primeiro!