Reconhecimento Facial: Desvendando os Riscos e Implicações para a Privacidade
2025-04-23Rumor: OpenAI pode estar interessada na aquisição do navegador Chrome da Google
2025-04-23
Desenvolvedores, cuidado! Extensões maliciosas no VS Code podem transformar seu PC em minerador de criptomoedas
Uma das Integrated Development Environments (IDEs) mais populares do mundo, o Visual Studio Code (VS Code), foi usada como vetor de ataque para uma sofisticada campanha de cryptojacking. Extensões maliciosas publicadas no VS Code Marketplace como legítimas foram baixadas mais de 1,2 milhão de vezes, transformando silenciosamente os computadores de desenvolvedores em máquinas para minerar criptomoedas sem consentimento.
O VS Code, editor de código amplamente adotado por programadores de todo o mundo, permite que os usuários expandam sua funcionalidade através de extensões, que adicionam recursos e ferramentas extremamente úteis. No entanto, essa característica também abriu caminho para que atacantes conseguissem publicar código malicioso disfarçado de extensões úteis.
A campanha, que começou em abril, destaca um problema crescente na plataforma: a exploração da IDE como vetor para ataques em larga escala. Para os programadores afetados, as consequências vão além do roubo de recursos computacionais, incluindo redução significativa de desempenho, aumento no consumo de energia e potenciais riscos de segurança adicionais.
Plataforma de desenvolvimento transformada em vetor de ataque
O Visual Studio Code se tornou a principal escolha entre desenvolvedores nos últimos anos graças à sua leveza, flexibilidade, gratuidade e, principalmente, capacidade de ser personalizado com extensões. Porém, essa característica também a torna a plataforma um alvo atraente para cibercriminosos, que podem explorar a confiança dos usuários em um ecossistema considerado seguro.
As extensões maliciosas foram publicadas por três autores diferentes, com a maioria delas assinadas por um usuário identificado como “Mark H”. Os pesquisadores de segurança que descobriram a ameaça suspeitam que os números de instalação foram artificialmente inflados para dar credibilidade às extensões e reduzir a desconfiança dos usuários.
Extensões e esquema de infecção
Entre as extensões maliciosas identificadas estavam Prettier — Code for VSCode, Discord Rich Presence for VS Code, Rojo — Roblox Studio Sync, Solidity Compiler, Claude AI, Golang Compiler, ChatGPT Agent for VSCode, HTML Obfuscator, Python Obfuscator for VSCode e Rust Compiler for VSCode.
O esquema de infecção era extremamente sofisticado e consistia em múltiplos estágios. Assim que instaladas, as extensões baixavam e executavam um script PowerShell a partir do servidor de comando e controle localizado no domínio “asdf11[.]xyz”, criado no mesmo dia em que as primeiras extensões foram publicadas.
Para evitar suspeitas, as extensões maliciosas também instalavam versões legítimas das ferramentas que estariam emulando, garantindo que os usuários recebessem a funcionalidade esperada enquanto o código malicioso operava no background.
Mecanismos avançados de infecção e persistência
O script PowerShell atuava como um carregador completo, implementando múltiplas técnicas para garantir que o malware permanecesse ativo e não fosse detectado:
Entre as técnicas utilizadas estavam persistência, elevação de privilégios, evasão de defesas e ocultação. Após estabelecer essas camadas de proteção, o script decodificava e instalava um executável chamado “Launcher.exe”. Este programa estabelecia comunicação com um segundo servidor de comando e controle (“myaunet[.]su”), de onde baixava e executava o minerador de criptomoedas XMRig.
Impactos do minerador
O XMRig é uma ferramenta de código aberto popular para minerar Monero (XMR) e outras criptomoedas que usam algoritmos como RandomX e Cryptonight. Embora seja um software legítimo, seu uso não-autorizado em máquinas comprometidas constitui uma forma de cryptojacking, permitindo que os atacantes monetizassem os recursos computacionais das vítimas.
Para os usuários afetados, os sinais mais evidentes da infecção eram a queda de desempenho do sistema e o aumento no consumo de energia, já que a mineração de criptomoeda é uma atividade intensiva que utiliza a CPU ao máximo.
Resposta da Microsoft
Após a descoberta das extensões maliciosas, a Microsoft agiu rapidamente para remover as extensões e bloquear o publicador do Visual Studio Code Marketplace.
Apesar da afirmação da Microsoft, especialistas em segurança recomendam que usuários que possam ter instalado qualquer uma das extensões mencionadas as removam imediatamente e realizem uma análise completa de segurança em seus sistemas para detectar e eliminar possíveis vestígios do malware, incluindo tarefas agendadas, chaves de registro e diretórios criados pela infecção.
