O Marketplace do Visual Studio Code é um recurso inestimável para programadores em todo o mundo, oferecendo ferramentas que agilizam o trabalho e personalizam o ambiente de desenvolvimento. No entanto, a liberdade de publicação na plataforma da Microsoft continua a ser uma faca de dois gumes. Recentemente, foram descobertas duas extensões maliciosas que, sob o disfarce de ferramentas úteis, infetavam as máquinas dos programadores com malware capaz de roubar informações sensíveis, incluindo carteiras de criptomoedas e credenciais de acesso.
As extensões em causa, denominadas "Bitcoin Black" e "Codo AI", foram publicadas por um programador identificado como "BigBlack". Enquanto a primeira se apresentava como um tema visual escuro, a segunda prometia ser um assistente de inteligência artificial. Apesar do número de descargas parecer baixo no momento da análise, a sofisticação do ataque demonstra o perigo constante que reside na instalação de software de fontes não verificadas.
Temas e assistentes de IA falsos
A extensão "Bitcoin Black" chamou a atenção dos investigadores pela sua agressividade. O código incluía um evento de ativação global que era executado em cada ação realizada no editor, algo totalmente desnecessário para um simples tema de cores. Nas versões mais antigas, a extensão utilizava um script PowerShell para descarregar o payload malicioso, o que resultava numa janela visível que poderia alertar o utilizador. Contudo, as versões mais recentes evoluíram para utilizar um script batch que executa o comando 'curl' de forma oculta, descarregando os ficheiros infetados sem levantar suspeitas imediatas.
Por outro lado, a "Codo AI" tentava capitalizar a tendência atual da inteligência artificial. Segundo a análise, a extensão oferecia funcionalidades legítimas de assistência de código, supostamente baseadas no ChatGPT ou DeepSeek, mas escondia uma secção maliciosa no seu código. Ambas as extensões utilizavam uma técnica conhecida como "DLL hijacking". Para tal, entregavam um executável legítimo da ferramenta de capturas de ecrã Lightshot, acompanhado por um ficheiro DLL malicioso. Quando o executável era iniciado, carregava automaticamente a DLL infetada, ativando o malware no sistema Windows.
O roubo de dados silencioso
Uma vez instalado, o malware, operando sob o nome runtime.exe, iniciava uma recolha abrangente de dados do sistema da vítima. O software criava uma diretoria específica para armazenar as informações roubadas, que incluíam detalhes sobre processos em execução, conteúdo da área de transferência (clipboard), credenciais de redes Wi-Fi, informações do sistema e uma lista de programas instalados. Além disso, o malware tinha a capacidade de realizar capturas de ecrã não autorizadas.
O ataque não se ficava por aqui. O malware foi concebido para lançar navegadores como o Google Chrome e o Edge em "modo headless" (sem interface gráfica), permitindo aos atacantes roubar cookies armazenados e sequestrar sessões de utilizador ativas. O alvo financeiro era claro, com o código a procurar especificamente por carteiras de criptomoedas populares como Phantom, Metamask e Exodus, numa tentativa de drenar os ativos digitais das vítimas.
Segundo a investigação da Koi Security, a DLL maliciosa utilizada neste ataque já é detetada por 29 dos 72 motores de antivírus no VirusTotal, o que sublinha a importância de manter as soluções de segurança atualizadas. Embora a Microsoft ainda não tenha comentado oficialmente o caso no momento da divulgação, esta situação reforça a necessidade de os programadores validarem sempre a autenticidade e a reputação dos editores antes de instalarem qualquer extensão no seu ambiente de trabalho.
Nenhum comentário
Seja o primeiro!