Uma recente investigação da Hunt.io identificou uma campanha preocupante que utiliza extensões maliciosas do Visual Studio Code (VS Code) para atingir desenvolvedores de software. Entre os exemplos analisados, destaca-se uma extensão que imita a popular ferramenta Zoom Workspace, com o objetivo de roubar cookies do Google Chrome e outros dados sensíveis.
A extensão foi carregada no VS Code Marketplace em 30 de novembro, aparentando ser legítima, com links para o repositório oficial do SDK de reuniões do Zoom no GitHub.
Introdução Gradual de Código Malicioso
Embora inicialmente legítima, a análise revelou que, a partir da versão 0.2.2, o código malicioso foi incorporado à extensão, possibilitando a captura de cookies do navegador Chrome. Essa implementação gradual foi uma estratégia dos atacantes para evitar a detecção nos estágios iniciais.
Para aumentar a confiança dos usuários, os responsáveis pela extensão publicaram uma avaliação positiva no dia de seu lançamento, provavelmente utilizando uma conta falsa para transmitir maior legitimidade.
Sofisticação e Técnicas Avançadas
Os atacantes demonstraram um alto nível de sofisticação ao combinar técnicas como a implantação escalonada do código malicioso, ofuscação e coleta assíncrona de dados. Esse caso sublinha os riscos crescentes associados a extensões comprometidas, que representam uma ameaça significativa aos Ambientes de Desenvolvimento Integrados (IDEs).
Impactos para Desenvolvedores e Organizações
O incidente destaca a importância de medidas de segurança adicionais para desenvolvedores que utilizam extensões para aprimorar suas IDEs. A vulnerabilidade de um ambiente de desenvolvimento pode resultar em ataques mais amplos em toda a cadeia de produção de software de uma organização.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
