Um ator malicioso, identificado como TigerJack, está a visar persistentemente programadores através de extensões fraudulentas publicadas no marketplace do Visual Studio (VSCode) e no registo OpenVSX. O objetivo é claro: roubar criptomoedas, instalar backdoors e exfiltrar código-fonte valioso.
A campanha, descoberta por investigadores da empresa de segurança Koi Security, já distribuiu pelo menos 11 extensões maliciosas desde o início do ano. Duas delas, "C++ Playground" e "HTTP Format", chegaram a acumular 17.000 downloads no marketplace do VSCode antes de serem removidas, mas continuam disponíveis no OpenVSX e estão a ser republicadas na loja da Microsoft sob novos nomes.
O método de ataque: como o TigerJack engana as suas vítimas
O TigerJack opera de forma coordenada, utilizando múltiplas contas para dar a ilusão de que as extensões pertencem a programadores independentes e credíveis. Para tal, cria repositórios no GitHub, desenvolve marcas, listas de funcionalidades detalhadas e escolhe nomes que se assemelham a ferramentas legítimas para enganar as suas vítimas.
O OpenVSX, um marketplace de extensões de código aberto mantido pela comunidade, serve como alternativa à plataforma da Microsoft e é o registo padrão para editores compatíveis com o VSCode, como o Cursor e o Windsurf, tornando-se um alvo estratégico para a disseminação deste malware.
As armas do arsenal: do roubo de código à mineração
As extensões maliciosas têm diferentes propósitos. A "C++ Playground", por exemplo, regista um "ouvinte" ('onDidChangeTextDocument') para ficheiros C++ que exfiltra o código-fonte para múltiplos destinos externos. Este processo é ativado cerca de 500 milissegundos após qualquer edição, capturando o que o programador escreve quase em tempo real.
Por outro lado, a extensão "HTTP Format" funciona como anunciado, mas executa secretamente um minerador de criptomoedas da CoinIMP em segundo plano. Este minerador utiliza credenciais e configurações pré-definidas para usar o poder de processamento do computador da vítima para gerar lucro para o atacante, sem qualquer restrição de recursos.
A ameaça mais perigosa: extensões que abrem as portas do seu PC
A categoria mais perigosa de extensões criadas pelo TigerJack (como "cppplayground", "httpformat" e "pythonformat") vai mais longe. Estas ferramentas descarregam e executam código JavaScript de um endereço remoto a cada 20 minutos. Esta técnica permite que o atacante execute código arbitrário no sistema da vítima sem precisar de atualizar a extensão.
"O TigerJack pode enviar dinamicamente qualquer payload malicioso sem atualizar a extensão — roubando credenciais e chaves de API, implementando ransomware, usando máquinas de programadores comprometidas como pontos de entrada em redes empresariais, injetando backdoors nos seus projetos ou monitorizando a sua atividade em tempo real", alertam os investigadores da Koi Security.
Apesar de os investigadores terem reportado a situação ao OpenVSX, as extensões maliciosas permanecem disponíveis para download no momento da publicação. A recomendação para os programadores é clara: descarregar pacotes apenas de editoras reputadas e de confiança para evitar comprometer a segurança dos seus sistemas e projetos.
Nenhum comentário
Seja o primeiro!