Uma investigação recente revelou uma campanha cibernética que explora extensões maliciosas do Visual Studio Code (VS Code) para disseminar ransomware, utilizando repositórios do GitHub como parte de sua infraestrutura de comando e controle (C2). Os pesquisadores identificaram várias extensões no Marketplace do Visual Studio que continham cargas ocultas disfarçadas de utilitários legítimos para desenvolvedores. Após a instalação, esses pacotes executavam JavaScript ofuscado que lançava comandos do PowerShell. Os scripts maliciosos recuperavam cargas secundárias de repositórios do GitHub sob contas aparentemente benignas.
As extensões imitavam títulos como “Theme Loader” e “Syntax Pro” e, uma vez ativadas, enviavam requisições GET para repositórios controlados pelos atacantes, transmitindo identificadores do sistema. A carga recuperada realizava reconhecimento, coletando informações do sistema e armazenando dados em arquivos .cab antes de enviá-los de volta ao GitHub. O ataque culminou na execução de um loader de ransomware que criptografava os ambientes de trabalho dos desenvolvedores, exigindo pagamento em criptomoeda. Para mitigar riscos, as organizações devem restringir a instalação de extensões não verificadas e monitorar o tráfego de saída para conexões anômalas com o GitHub.
Fonte: https://cyberpress.org/vs-code-extensions-ransomware/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
06/11/2025 • Risco: ALTO
RANSOMWARE
Extensões do VS Code sequestradas para espalhar ransomware
RESUMO EXECUTIVO
O uso de extensões maliciosas do VS Code para disseminar ransomware representa uma ameaça significativa para desenvolvedores e empresas. A exploração de repositórios do GitHub para comando e controle permite que os atacantes evitem a detecção, aumentando o risco de comprometimento de dados sensíveis. A necessidade de ações imediatas para restringir a instalação de extensões não verificadas e monitorar o tráfego de rede é crucial.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos associados à recuperação de dados e interrupção das operações.
Operacional
Criptografia de ambientes de trabalho e exigência de pagamento em criptomoeda.
Setores vulneráveis
['Tecnologia da informação', 'Desenvolvimento de software', 'Startups']
📊 INDICADORES CHAVE
Extensões maliciosas disfarçadas como utilitários legítimos.
Indicador
Uso de GitHub para exfiltração de dados.
Contexto BR
Requisições GET e POST estruturadas para comunicação com repositórios maliciosos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar as extensões instaladas no VS Code e remover aquelas que não são verificadas.
2
Implementar políticas de segurança que restrinjam a instalação de extensões não autorizadas.
3
Monitorar continuamente o tráfego de saída para conexões com repositórios do GitHub.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança do ambiente de desenvolvimento, pois a exploração de extensões pode comprometer dados sensíveis e a integridade do código.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
