Vs Code

Pesquisadores de cibersegurança identificaram uma extensão maliciosa para o Visual Studio Code (VS Code) chamada ‘susvsex’, que possui capacidades básicas de ransomware. Criada com auxílio de inteligência artificial, a extensão foi carregada em 5 de novembro de 2025, e não esconde suas funcionalidades maliciosas. Ao ser ativada, ela compacta, faz upload e criptografa arquivos de diretórios específicos do sistema operacional, como C:\Users\Public\testing no Windows e /tmp/testing no macOS. A Microsoft removeu a extensão do Marketplace do VS Code no dia seguinte à sua descoberta. Além da criptografia, a extensão utiliza um repositório privado no GitHub como canal de comando e controle (C2), onde busca novas instruções. O desenvolvedor, que se apresenta como residente de Baku, Azerbaijão, deixou evidências que podem facilitar a exploração por outros atacantes. Em um incidente separado, 17 pacotes npm foram encontrados disfarçados como kits de desenvolvimento, mas que executam o infostealer Vidar em sistemas infectados. Esses pacotes foram baixados mais de 2.240 vezes antes de serem removidos, destacando a necessidade de vigilância constante na cadeia de suprimentos de software.

Uma investigação recente revelou uma campanha cibernética que explora extensões maliciosas do Visual Studio Code (VS Code) para disseminar ransomware, utilizando repositórios do GitHub como parte de sua infraestrutura de comando e controle (C2). Os pesquisadores identificaram várias extensões no Marketplace do Visual Studio que continham cargas ocultas disfarçadas de utilitários legítimos para desenvolvedores. Após a instalação, esses pacotes executavam JavaScript ofuscado que lançava comandos do PowerShell. Os scripts maliciosos recuperavam cargas secundárias de repositórios do GitHub sob contas aparentemente benignas.

O malware GlassWorm representa uma nova ameaça no cenário de ataques à cadeia de suprimentos, sendo o primeiro worm a atacar extensões do VS Code no marketplace OpenVSX. Detectado inicialmente na ferramenta de produtividade CodeJoy, o malware utiliza caracteres especiais de Unicode que aparecem como espaços em branco, tornando o código invisível tanto para revisores humanos quanto para ferramentas de análise automática. Após a instalação, o GlassWorm coleta credenciais sensíveis, como tokens do NPM e credenciais do GitHub, além de escanear extensões de carteiras de criptomoedas para drenar fundos. O malware opera com uma infraestrutura de comando e controle descentralizada, utilizando a blockchain Solana para comunicação, o que torna sua remoção extremamente difícil. Além disso, ele emprega eventos do Google Calendar para garantir a persistência de sua operação. Com mais de 35 mil instalações detectadas, o GlassWorm exemplifica os riscos exponenciais que os worms modernos representam para desenvolvedores e usuários. A situação exige atenção redobrada das equipes de segurança, especialmente em um ambiente onde a revisão de código se mostrou insuficiente para detectar tais ameaças.

Uma nova pesquisa revelou que mais de 100 extensões do Visual Studio Code (VS Code) vazaram tokens de acesso, permitindo que atacantes atualizassem essas extensões com malware, representando um risco crítico à cadeia de suprimentos de software. Os pesquisadores da Wiz identificaram mais de 550 segredos validados em mais de 500 extensões, incluindo tokens de acesso pessoal do VS Code Marketplace e do Open VSX, que poderiam ser explorados por cibercriminosos. Com uma base de instalação acumulada de 150.000, a possibilidade de distribuição de malware é alarmante. Além disso, um grupo de ameaças conhecido como TigerJack publicou extensões maliciosas que roubam código-fonte e mineram criptomoedas, utilizando uma abordagem de cavalo de Troia para enganar desenvolvedores. A Microsoft respondeu ao problema revogando os tokens vazados e implementando recursos de verificação de segredos. Os usuários do VS Code são aconselhados a limitar o número de extensões instaladas e a revisar cuidadosamente as extensões antes de baixá-las.