Desenvolvedores

Uma nova variação da campanha de recrutamento falso, atribuída a atores de ameaça da Coreia do Norte, está focando em desenvolvedores de JavaScript e Python com tarefas relacionadas a criptomoedas. Desde maio de 2025, essa atividade se caracteriza pela modularidade, permitindo que os atacantes retomem rapidamente as operações após uma possível comprometimento. Os criminosos utilizam pacotes publicados nos repositórios npm e PyPi como downloaders para um trojan de acesso remoto (RAT). Pesquisadores identificaram 192 pacotes maliciosos, nomeados ‘Graphalgo’, que se disfarçam como ofertas de emprego em empresas fictícias do setor de blockchain e comércio de criptomoedas. Os desenvolvedores que se candidatam são induzidos a executar códigos que instalam dependências maliciosas em seus sistemas. Um exemplo notável é o pacote ‘bigmathutils’, que, após 10.000 downloads, introduziu cargas maliciosas em sua versão 1.1.0. A campanha é atribuída ao grupo Lazarus, com base em sua abordagem e no foco em criptomoedas, além de evidências de que os commits no GitHub seguem o fuso horário da Coreia do Norte. Os desenvolvedores que instalaram esses pacotes devem rotacionar tokens e senhas de conta e reinstalar seus sistemas operacionais.

Pesquisadores da Koi Security descobriram que duas extensões do Visual Studio Code, chamadas ChatGPT - 中文版 e ChatMoss (CodeMoss), coletam dados de 1,5 milhão de desenvolvedores. Embora funcionem como assistentes de programação, essas ferramentas maliciosas têm acesso irrestrito aos arquivos abertos pelos usuários, registrando todas as edições e enviando essas informações para servidores na China. O spyware embutido nas extensões lê todo o documento assim que o arquivo é aberto, sem necessidade de interação do usuário. Além disso, uma backdoor permite que os atacantes coletem até 50 arquivos com um único comando, dependendo do valor da vítima. Para decidir se vale a pena roubar os arquivos, as extensões utilizam SDKs de analytics que monitoram o comportamento do programador e fazem um perfil detalhado do dispositivo. A situação destaca a necessidade de uma verificação mais rigorosa das ferramentas utilizadas por desenvolvedores, especialmente em um cenário onde as extensões maliciosas podem ter avaliações positivas e serem aprovadas em marketplaces.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware chamada Evelyn Stealer, que visa desenvolvedores de software através do ecossistema de extensões do Microsoft Visual Studio Code (VS Code). O malware é projetado para exfiltrar informações sensíveis, como credenciais de desenvolvedores e dados relacionados a criptomoedas. A Trend Micro destacou que ambientes de desenvolvimento comprometidos podem ser usados como pontos de acesso a sistemas organizacionais mais amplos.

A campanha foi inicialmente documentada pela Koi Security, que identificou três extensões maliciosas do VS Code que baixam um DLL downloader. Este downloader executa um comando PowerShell oculto para buscar e executar um segundo payload, que injeta o principal payload de roubo de informações em um processo legítimo do Windows. Entre os dados coletados estão conteúdos da área de transferência, aplicativos instalados, carteiras de criptomoedas, capturas de tela da área de trabalho e credenciais armazenadas em navegadores como Google Chrome e Microsoft Edge.

Pesquisadores de cibersegurança descobriram duas extensões maliciosas no Marketplace do Microsoft Visual Studio Code (VS Code) que visam infectar máquinas de desenvolvedores com malware do tipo stealer. As extensões, que se apresentavam como um tema escuro premium e um assistente de codificação baseado em inteligência artificial, na verdade, possuíam funcionalidades ocultas para baixar cargas adicionais, capturar telas e roubar dados. As informações coletadas eram enviadas a um servidor controlado por atacantes. As extensões identificadas foram ‘BigBlack.bitcoin-black’, que teve 16 instalações, e ‘BigBlack.codo-ai’, com 25 instalações, ambas removidas pela Microsoft em dezembro de 2025. O malware era capaz de roubar senhas de Wi-Fi, acessar o conteúdo da área de transferência e sequestrar sessões de navegador. Além disso, versões anteriores das extensões permitiam a execução de scripts PowerShell para baixar arquivos maliciosos. O ataque destaca a vulnerabilidade de ferramentas amplamente utilizadas por desenvolvedores e a necessidade de vigilância constante em relação a pacotes de software. O incidente é um alerta sobre a segurança na cadeia de suprimentos de software, especialmente em um cenário onde pacotes maliciosos também foram identificados em outras plataformas como Go e npm.

A campanha de cibersegurança conhecida como GlassWorm voltou a atacar, infiltrando 24 extensões maliciosas no Microsoft Visual Studio Marketplace e Open VSX. Essas extensões se disfarçam de ferramentas populares para desenvolvedores, como Flutter e React, e têm como objetivo roubar credenciais do GitHub, npm e Open VSX, além de drenar ativos de criptomoedas de diversas carteiras. A GlassWorm, que utiliza a blockchain Solana para controle de comando e controle (C2), foi documentada pela primeira vez em outubro de 2025 e já causou sérios danos ao comprometer pacotes e extensões adicionais, espalhando o malware de forma semelhante a um verme. A última onda de ataques, identificada por John Tuckner da Secure Annex, envolveu a manipulação de contagens de downloads para enganar desenvolvedores. As extensões maliciosas contêm implantes em Rust que visam sistemas Windows e macOS, permitindo que os atacantes baixem cargas úteis adicionais. A situação é crítica, pois muitos desenvolvedores podem ser facilmente enganados por essas extensões, colocando suas máquinas e dados em risco.

Uma nova investigação da NVISO revelou uma campanha de malware chamada “Contagious Interview”, associada a atores de ameaças alinhados à Coreia do Norte. Essa campanha utiliza serviços legítimos de armazenamento JSON, como JSON Keeper e JSONsilo, para distribuir malware a partir de repositórios de código comprometidos. O ataque se concentra em desenvolvedores de software, especialmente nos setores de criptomoedas e Web3, que são abordados por recrutadores falsos em plataformas profissionais como o LinkedIn. Os desenvolvedores são induzidos a baixar projetos de demonstração de repositórios como GitLab ou GitHub, que, embora pareçam funcionais, contêm arquivos de configuração maliciosos. Esses arquivos, ao serem decodificados, revelam URLs que carregam scripts JavaScript ofuscados, levando à instalação de um infostealer chamado BeaverTail, que coleta dados sensíveis. A segunda fase do ataque envolve um RAT modular chamado InvisibleFerret, que busca componentes adicionais em Pastebin. A NVISO alerta que os desenvolvedores devem ser cautelosos ao executar códigos de entrevistas não solicitadas e tratar variáveis de configuração como potenciais vetores de infecção.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

A Microsoft Threat Intelligence identificou uma nova variante do malware XCSSET, que representa riscos significativos para desenvolvedores de aplicativos macOS que utilizam o Xcode. Esta versão aprimorada introduz técnicas de ofuscação avançadas, capacidades expandidas de exfiltração de dados e mecanismos de persistência que evoluíram desde sua documentação inicial em março de 2025. O malware opera por meio de uma cadeia de infecção em quatro etapas, inserindo código malicioso em arquivos de projeto. Quando os desenvolvedores constroem projetos infectados, o XCSSET é executado silenciosamente em segundo plano, explorando a confiança que os desenvolvedores depositam em repositórios de código compartilhados. Uma característica preocupante é o módulo de monitoramento da área de transferência, que pode substituir endereços de carteiras de criptomoedas, redirecionando transações. Além disso, o malware agora também coleta dados do navegador Firefox, aumentando seu potencial de coleta de informações. O XCSSET desativa recursos críticos de segurança do macOS, deixando sistemas infectados vulneráveis a outras ameaças. Para mitigar esses riscos, recomenda-se que as organizações implementem procedimentos rigorosos de verificação de projetos no Xcode e utilizem o Microsoft Defender para Endpoint.

O Google anunciou uma nova medida de segurança para a Play Store, chamada Verificação de Desenvolvedor, que entrará em vigor em 2026. Essa iniciativa visa impedir que aplicativos de terceiros, especialmente aqueles de desenvolvedores anônimos, sejam publicados na loja, reduzindo assim o risco de infecções por malware. Desde agosto de 2023, os desenvolvedores já precisam fornecer um número D-U-N-S para publicar aplicativos, o que já ajudou a diminuir a quantidade de malwares. A nova verificação exigirá que todos os aplicativos instalados em dispositivos Android venham de desenvolvedores com identidade verificada pelo Google. A medida é uma resposta ao aumento de malwares, que, segundo o Google, são 50 vezes mais comuns em aplicativos baixados da internet do que na Play Store. A partir de setembro de 2026, a verificação de identidade será obrigatória em países como Brasil, Indonésia, Cingapura e Tailândia, e se expandirá globalmente em 2027. Dispositivos Android certificados, que passaram pelo Teste de Compatibilidade da Google, serão os únicos a permitir a instalação de aplicativos verificados, enquanto dispositivos não certificados continuarão a operar com APKs de desenvolvedores anônimos.