Extensão maliciosa para VS Code rouba cookies e dados sensíveis
Uma recente investigação da Hunt.io identificou uma campanha preocupante que utiliza extensões maliciosas do Visual Studio Code (VS Code) para atingir desenvolvedores de software. Entre os exemplos analisados, destaca-se uma extensão que imita a popular ferramenta Zoom Workspace, com o objetivo de roubar cookies do Google Chrome e outros dados sensíveis.
A extensão foi carregada no VS Code Marketplace em 30 de novembro, aparentando ser legítima, com links para o repositório oficial do SDK de reuniões do Zoom no GitHub.
Introdução Gradual de Código Malicioso
Embora inicialmente legítima, a análise revelou que, a partir da versão 0.2.2, o código malicioso foi incorporado à extensão, possibilitando a captura de cookies do navegador Chrome. Essa implementação gradual foi uma estratégia dos atacantes para evitar a detecção nos estágios iniciais.
Para aumentar a confiança dos usuários, os responsáveis pela extensão publicaram uma avaliação positiva no dia de seu lançamento, provavelmente utilizando uma conta falsa para transmitir maior legitimidade.
Sofisticação e Técnicas Avançadas
Os atacantes demonstraram um alto nível de sofisticação ao combinar técnicas como a implantação escalonada do código malicioso, ofuscação e coleta assíncrona de dados. Esse caso sublinha os riscos crescentes associados a extensões comprometidas, que representam uma ameaça significativa aos Ambientes de Desenvolvimento Integrados (IDEs).
Impactos para Desenvolvedores e Organizações
O incidente destaca a importância de medidas de segurança adicionais para desenvolvedores que utilizam extensões para aprimorar suas IDEs. A vulnerabilidade de um ambiente de desenvolvimento pode resultar em ataques mais amplos em toda a cadeia de produção de software de uma organização.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
