Vscode

Recentemente, hackers comprometeram imagens Docker e extensões do Visual Studio Code (VSCode) e Open VSX do Checkmarx KICS, uma ferramenta de análise de segurança de código. O KICS, que é um scanner de código aberto, ajuda desenvolvedores a identificar vulnerabilidades em código-fonte e configurações. A investigação da empresa Socket revelou que a violação se estendeu para além da imagem Docker do KICS, incluindo extensões que baixavam um recurso oculto chamado ‘MCP addon’, projetado para instalar malware que rouba dados. Este malware visa informações sensíveis processadas pelo KICS, como tokens do GitHub, credenciais de nuvem e variáveis de ambiente, criptografando e exfiltrando esses dados para um domínio que se passa por infraestrutura legítima do Checkmarx. O ataque ocorreu em um intervalo específico, e os desenvolvedores que baixaram as versões comprometidas devem considerar suas credenciais comprometidas e tomar medidas imediatas para mitigar os riscos. A Checkmarx já removeu os artefatos maliciosos e está investigando o incidente com a ajuda de especialistas externos.

Pesquisadores da Ox Security identificaram vulnerabilidades de alta a crítica em extensões populares do Visual Studio Code (VSCode), que foram baixadas mais de 128 milhões de vezes. As falhas afetam as extensões Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) e Microsoft Live Preview. Essas vulnerabilidades podem ser exploradas para roubar arquivos locais e executar código remotamente. O CVE-2025-65717, por exemplo, permite que um atacante roube arquivos locais ao direcionar a vítima a uma página maliciosa. Já o CVE-2025-65715 possibilita a execução remota de código ao manipular o arquivo de configuração da extensão. Os pesquisadores tentaram alertar os mantenedores das extensões desde junho de 2025, mas não obtiveram resposta. A Ox Security recomenda que os desenvolvedores evitem executar servidores localhost desnecessários e que removam extensões não confiáveis, além de monitorar alterações inesperadas nas configurações. Essas falhas representam um risco significativo para ambientes corporativos, podendo levar a movimentos laterais na rede e exfiltração de dados sensíveis.

Cerca de 1,5 milhão de usuários do Visual Studio Code (VSCode) podem ter sido impactados por duas extensões maliciosas que se apresentavam como assistentes de inteligência artificial. Pesquisadores da Koi Security identificaram que essas extensões, chamadas ‘ChatGPT – 中文版’ e ‘ChatMoss (CodeMoss)’, foram criadas por hackers chineses e têm como objetivo roubar dados sensíveis, como senhas e informações de criptomoedas. Apesar de oferecerem funcionalidades legítimas, as extensões enviam dados para um servidor malicioso na China sem o conhecimento dos usuários. O ataque é parte de uma campanha denominada ‘MaliciousCorgi’, que utiliza três métodos distintos para exfiltrar informações: monitoramento em tempo real dos arquivos abertos, captura silenciosa de até 50 arquivos e um iframe invisível que rastreia o comportamento do usuário. A Microsoft está ciente do problema e está avaliando a situação, mas as extensões ainda estão disponíveis para download no marketplace do VSCode. Este incidente destaca a necessidade de vigilância constante em relação a ferramentas de desenvolvimento amplamente utilizadas e a importância de verificar a origem das extensões instaladas.

Duas extensões maliciosas disponíveis no Marketplace do Visual Studio Code (VSCode) foram instaladas 1,5 milhão de vezes e estão exfiltrando dados de desenvolvedores para servidores localizados na China. Ambas as extensões, apresentadas como assistentes de codificação baseados em inteligência artificial, não informam os usuários sobre a coleta de dados nem solicitam consentimento. Pesquisadores da Koi Security identificaram a campanha ‘MaliciousCorgi’, que utiliza o mesmo código para roubar informações. As extensões, ‘ChatGPT – 中文版’ e ‘ChatMoss’, empregam três mecanismos distintos para coletar dados: monitoramento em tempo real de arquivos abertos, comandos de coleta de arquivos e carregamento de SDKs de análise comercial para rastrear o comportamento do usuário. O uso dessas extensões pode expor códigos-fonte privados, arquivos de configuração e credenciais de serviços em nuvem, representando um risco significativo para a segurança dos desenvolvedores. A Microsoft foi contatada sobre a presença dessas extensões, mas ainda não se manifestou. Este incidente destaca a necessidade de vigilância constante em relação a complementos de software, especialmente aqueles que prometem funcionalidades avançadas sem transparência.

Um grupo hacker conhecido como WhiteCobra está atacando desenvolvedores por meio de extensões falsas para editores de código como VSCode, Cursor e Windsurf. Essas extensões maliciosas têm como objetivo roubar credenciais de acesso e carteiras de criptomoedas. A descoberta foi feita pelo programador Zak Cole, que teve sua carteira comprometida após instalar uma extensão que parecia legítima, mas que possuía um número de downloads inflacionado artificialmente. Pesquisadores da Koi Security identificaram pelo menos 24 extensões falsas disponíveis em marketplaces oficiais, como o Visual Studio Marketplace e Open VSX. O malware se adapta ao sistema operacional do usuário, utilizando scripts que baixam um software malicioso, como o LummaStealer, em Windows e um binário Mach-O em macOS. O grupo WhiteCobra é descrito como altamente organizado, capaz de lançar ataques em menos de três horas. Para evitar esses golpes, os programadores devem verificar a autenticidade das extensões, desconfiar de nomes que imitam extensões conhecidas e analisar a quantidade de downloads e avaliações positivas em um curto período.