Extensões maliciosas para VS Code roubavam dados de programadores

Duas extensões maliciosas foram identificadas no Marketplace do Visual Studio Code, que é um editor de código mantido pela Microsoft. Apesar de funcionarem como prometido, elas executavam scripts escondidos para capturar a tela do usuário e extrair informações sensíveis — um risco direto para desenvolvedores que dependem do VS Code em seu dia a dia.

A descoberta foi feita pela Koi Security, que detalhou como as ferramentas baixavam cargas maliciosas adicionais logo após a instalação. A partir daí, iniciavam um processo de coleta silenciosa de dados, incluindo prints da tela, conteúdo da Área de Transferência, processos em execução e até credenciais de redes Wi-Fi.

• Leia mais: Cibercriminoso de 19 anos é preso na Espanha após tentar vender 64 milhões de dados pessoais

Uma das extensões maliciosas era o tema BigBlack.bitcoin-black, instalado 16 vezes. Embora mudasse a aparência do VS Code como prometido, continha eventos de ativação que rodavam scripts PowerShell em segundo plano.

A outra, BigBlack.codo-ai, tinha 25 instalações e se apresentava como um assistente de desenvolvimento baseado em inteligência artificial. Assim como a primeira, também acionava scripts após a instalação.

Ambas foram removidas do marketplace — BigBlack.bitcoin-black em 5 de dezembro e BigBlack.codo-ai em 8 de dezembro. A Microsoft ainda eliminou uma terceira extensão do mesmo autor, BigBlack.mrbigblacktheme, que continha o mesmo malware.

As três extensões instalavam uma versão adulterada do aplicativo Lightshot, legítimo para captura de tela, mas embarcado com DLLs maliciosos. Ao abrir o programa, esses arquivos eram carregados e executados como parte do ataque.

O malware também se infiltrava no diretório %appdata%, coletando dados como histórico da Área de Transferência, lista de aplicações instaladas e informações do sistema. Em seguida, todo o conteúdo era enviado para um servidor externo controlado pelos atacantes.

Quem são os alvos?

Os alvos eram desenvolvedores comuns, mas pertencentes a perfis distintos. O BigBlack.bitcoin-black, como o nome sugere, buscava atingir usuários interessados em criptomoedas — um público potencialmente com carteiras digitais ativas no dispositivo.

Já o BigBlack.codo-ai tentava alcançar um grupo bem mais amplo: programadores que procuram soluções gratuitas para melhorar a produtividade, especialmente assistentes de IA.

Como prevenir?

Assim como aplicativos baixados pela internet ou em lojas oficiais, extensões do VS Code também exigem cuidado. Ao escolher um complemento, é importante:

• Verificar se o desenvolvedor é confiável;
• Checar avaliações;
• Observar o número de instalações.

No caso dessas extensões, um dos sinais de alerta era justamente a baixa quantidade de downloads — uma pista importante para identificar riscos antes da instalação.

• Confira: Paramount tem rede social supostamente hackeada e posta referência fascista

Quer acompanhar mais alertas de segurança, novidades em software e análises técnicas? Siga o TecMundo nas redes sociais e fique por dentro de tudo que está rolando no mundo da tecnologia.