Seu Editor de Código Pode Ser um Ladrão: Extensões no VS Code Marketplace Roubam Dados

Se você é desenvolvedor e usa o Visual Studio Code, a lógica é simples: você confia no Marketplace oficial da Microsoft para baixar extensões que aumentam sua produtividade. O que acontece, no entanto, quando essa confiança é explorada? Recentemente, duas extensões maliciosas, batizadas de 'Bitcoin Black' e 'Codo AI', foram descobertas na plataforma, projetadas para transformar o ambiente de desenvolvimento em um ponto de coleta de dados sensíveis. O caso, exposto pela empresa de segurança Koi Security, serve como um lembrete de que nem mesmo os jardins murados das gigantes de tecnologia são imunes a ervas daninhas digitais.

O Cavalo de Troia no seu Ambiente de Trabalho

As extensões maliciosas chegaram ao Marketplace sob o nome do publicador 'BigBlack', utilizando uma estratégia de dissimulação clássica. A primeira, 'Bitcoin Black', se apresentava como um simples tema de cores, algo que, em tese, deveria ser inofensivo. A segunda, 'Codo AI', prometia ser um assistente de inteligência artificial para auxiliar na programação, com funcionalidades baseadas em ChatGPT ou DeepSeek. Ambas as propostas são atraentes para desenvolvedores que buscam otimizar seu fluxo de trabalho.

Contudo, a realidade era bem diferente. Segundo o relatório da Koi Security, o código dessas extensões continha um componente malicioso oculto. Se um desenvolvedor instalasse qualquer uma delas, então, sem seu conhecimento, um malware ladrão de informações seria implantado em sua máquina. Felizmente, o alcance do ataque parece ter sido limitado. No momento da descoberta, a extensão 'Bitcoin Black' registrava apenas uma instalação, enquanto a 'Codo AI' contava com menos de 30 downloads. Um alívio, mas que não diminui a gravidade da falha na segurança da plataforma.

Anatomia de um Roubo Digital

A análise forense do pesquisador Idan Dardikman, da Koi Security, revela a mecânica do ataque. A extensão 'Bitcoin Black' chamava a atenção por um detalhe técnico suspeito: um evento de ativação configurado com "*", significando que seu código era executado a cada ação realizada no VS Code. A pergunta lógica que surge é: por que um tema de cores precisaria de permissões tão amplas? Versões mais antigas do pacote usavam um script PowerShell para baixar o payload malicioso, uma ação que criava uma janela visível e poderia alertar o usuário. Nas versões mais recentes, o método foi aprimorado para ser mais furtivo, utilizando um script em lote (bat.sh) para baixar uma DLL maliciosa e um executável, mantendo a janela do processo oculta.

Ambas as extensões empregavam a técnica de DLL hijacking. Elas instalavam uma versão legítima do executável da popular ferramenta de captura de tela Lightshot, acompanhada de uma DLL maliciosa. Quando o sistema tentava carregar o programa, a DLL adulterada era carregada no lugar da legítima, executando o malware, que operava sob o nome de processo runtime.exe. Conforme destacado no relatório, a DLL maliciosa foi sinalizada como uma ameaça por 29 dos 72 motores de antivírus no VirusTotal, uma taxa de detecção que evidencia sua natureza perigosa.

Uma vez ativo, o infostealer criava um diretório chamado 'Evelyn' na pasta %APPDATA%Local para armazenar os dados roubados. A lista de alvos era extensa e preocupante, incluindo:

  • Informações detalhadas sobre processos em execução;
  • Conteúdo da área de transferência (clipboard);
  • Credenciais de redes Wi-Fi salvas;
  • Informações completas do sistema;
  • Capturas de tela do computador do usuário;
  • Sessões de navegador, cookies e senhas do Chrome e Edge, que eram iniciados em modo "headless" para extrair os dados sem que o usuário percebesse;
  • Carteiras de criptomoedas, como Phantom, Metamask e Exodus.

A Resposta da Microsoft e o Alerta para Desenvolvedores

Após a notificação do BleepingComputer sobre a presença das extensões maliciosas, um porta-voz da Microsoft confirmou que ambos os pacotes foram removidos do VS Code Marketplace. A ação foi rápida, mas o incidente expõe uma vulnerabilidade na cadeia de suprimentos de software que afeta diretamente a comunidade de desenvolvedores. Campanhas anteriores, como a Glassworm, já haviam explorado repositórios como o OpenVSX, mas a presença de malware no marketplace oficial da Microsoft eleva o nível de alerta.

O episódio reforça uma premissa fundamental de segurança digital: a confiança deve ser verificada. Se a plataforma, mesmo sendo de uma empresa como a Microsoft, pode ser comprometida, então a responsabilidade final recai sobre o usuário. A recomendação lógica é adotar uma postura cética e rigorosa. Antes de instalar qualquer extensão, é fundamental verificar a reputação do publicador, ler as avaliações de outros usuários e questionar as permissões solicitadas. Uma extensão que só muda cores não deveria precisar de acesso à rede ou permissão para executar scripts. A lógica, como sempre, é a melhor ferramenta de defesa.