A segurança no desenvolvimento de software volta a estar na ordem do dia, com a descoberta de uma nova campanha maliciosa que visa especificamente os utilizadores do Visual Studio Code. Uma investigação recente revelou que quase duas dezenas de extensões disponíveis no marketplace oficial da Microsoft escondiam código malicioso de uma forma bastante criativa e furtiva: disfarçado de ficheiros de imagem.
Desde fevereiro que esta campanha tem estado ativa, visando programadores através de extensões que prometiam melhorias visuais ou ferramentas úteis, mas que acabavam por comprometer os sistemas onde eram instaladas.
O truque do ficheiro PNG falso
O método utilizado pelos atacantes destaca-se pela sua tentativa de evasão às deteções de segurança tradicionais. Segundo a análise dos investigadores da ReversingLabs, citada pela BleepingComputer, os autores do ataque manipularam a estrutura das extensões para evitar que o Visual Studio Code fosse buscar dependências ao registo oficial npm.
Em vez disso, as extensões maliciosas vinham pré-carregadas com uma pasta node_modules. No interior desta pasta, os atacantes incluíram versões modificadas de bibliotecas populares, como a path-is-absolute ou @actions/io. É importante notar que a versão legítima da biblioteca path-is-absolute é extremamente popular, contando com cerca de 9 mil milhões de transferências, o que ajuda a conferir uma falsa sensação de legitimidade aos ficheiros.
A "magia" acontecia no ficheiro index.js modificado, que era executado automaticamente assim que o IDE era iniciado. Este script descodificava um dropper JavaScript ofuscado. A parte mais engenhosa envolvia um ficheiro chamado banner.png. Embora a extensão indicasse tratar-se de uma imagem, este ficheiro era, na realidade, um arquivo que continha dois binários maliciosos: um executável conhecido como cmstp.exe (um binário legítimo do Windows frequentemente abusado por atacantes, técnica conhecida como LoLBin) e um trojan baseado em Rust.
Extensões removidas e cuidados a ter
No total, foram identificadas 19 extensões maliciosas associadas a esta campanha. Muitas delas apresentavam nomes genéricos ou tentavam imitar temas populares para atrair vítimas. Entre os exemplos detetados encontram-se nomes como "Malkolm Theme", "PandaExpress Theme", "Prada 555 Theme" e "Priskinski Theme", todas publicadas com a versão 1.0.0.
Após a descoberta, a situação foi reportada à Microsoft, que agiu prontamente removendo todas as extensões identificadas da sua loja. No entanto, para os programadores que possam ter instalado estas ferramentas entre fevereiro e a data da sua remoção, o risco permanece.
Este caso serve como um lembrete crucial de que os marketplaces de extensões, apesar de serem canais oficiais, não são imunes a ataques à cadeia de fornecimento. Recomenda-se que os utilizadores verifiquem sempre a credibilidade do editor antes de instalar qualquer complemento e, sempre que possível, inspecionem as dependências incluídas, especialmente quando estas vêm empacotadas diretamente com a extensão em vez de serem obtidas de fontes fidedignas durante a instalação.
Embora as extensões tenham sido eliminadas, quem as instalou deve realizar uma verificação completa aos seus sistemas em busca de sinais de compromisso ou persistência do malware.
Nenhum comentário
Seja o primeiro!