Hack Alerta

Evelyn Stealer: extensão maliciosa usa VS Code para comprometer estações de desenvolvedor

Por Redação Hack Alerta Publicado em 19/01/2026 20:03 Riscos e Ameaças Tempo de leitura: 3 min

Campanha Evelyn Stealer usa extensão trojanizada do Visual Studio Code que instala um falso Lightshot.dll para disparar um chain de downloaders; payload final rouba senhas, cookies, carteiras e arquivos e envia para FTP controlado pelos operadores.

Resumo

Pesquisadores da Trend Micro descrevem uma campanha em que uma extensão trojanizada do Visual Studio Code serve como vetor inicial para a implantação do Evelyn Stealer. A cadeia de ataque abusa da execução de um componente falso do Lightshot para carregar stages posteriores, culminando na exfiltração de credenciais, carteiras de criptomoedas e arquivos sensíveis.

Fluxo de ataque e técnica de evasion

O ataque começa com a instalação de uma extensão maliciosa no VS Code que instala um componente falso (Lightshot.dll). Quando o usuário executa a ação legítima (captura de tela via Lightshot.exe), o binário legítimo carrega a DLL maliciosa, o que permite ao atacante acionar o restante da cadeia sem levantar suspeitas imediatas.

Stages observados

  • Loader dentro da extensão do VS Code que deposita um falso Lightshot.dll.
  • O falso DLL atua como downloader, disparando um comando PowerShell oculto que obtém um arquivo chamado iknowyou.model, salva-o como runtime.exe e executa-o.
  • Componentes adicionais, incluindo abe_decrypt.dll, são baixados e injetados em navegadores (Edge e Chrome) para roubo de credenciais e coleta de artefatos locais.
  • Os dados reunidos são compactados e enviados para um servidor FTP controlado pelos operadores.

Alcance e implicações para organizações

O vetor — uma extensão do VS Code — atinge desenvolvedores, que por definição detêm acesso crítico: tokens de repositório, credenciais de cloud e chaves de produção. Um único laptop de desenvolvedor comprometido pode, portanto, escalar para um incidente de comprometimento de cadeia de ferramentas e ambientes de produção.

Indicadores e sinais detectáveis

  • Instalações recentes de extensões desconhecidas no VS Code correlacionadas com atividade de processos Lightshot.exe.
  • Execuções de PowerShell ofuscadas invocadas por processos de usuário relacionados a ferramentas de captura de tela.
  • Conexões FTP não usuais originadas de endpoints de desenvolvimento ou logs de upload de arquivos compactados contendo perfis, cookies e arquivos fonte.

Contramedidas recomendadas

  • Política de controle de extensões: bloquear ou aprovar centralmente extensões do VS Code em estações gerenciadas e repositórios organizacionais.
  • Monitorar e bloquear execuções de PowerShell ofuscadas; habilitar Script Block Logging e Application Control onde aplicável.
  • Restringir uploads FTP ou monitorar padrões de transferência de arquivos a servidores externos a partir de estações de desenvolvimento.
  • Auditar chaves e tokens após qualquer incidente em estação de desenvolvedor; rotacionar segredos e credenciais suspeitas.
  • Segregar ambientes: minimizar uso de credenciais de produção em máquinas de desenvolvimento e usar vaults para segredos.

Conclusão

A campanha Evelyn Stealer demonstra a eficácia de atacar o ecossistema de desenvolvedor — extensões e ferramentas legítimas — e como isso pode se transformar em vetor para roubo massivo de dados sensíveis. Equipes de segurança devem combinar políticas de controle de extensões com monitoração comportamental para reduzir a superfície de ataque.

Fonte: Cyber Security News (Trend Micro).

Baseado em publicação original de Cyber Security News
Tags: #evelyn #vs-code #extensoes #lightshot #powershell #exfiltracao #malware #desenvolvedores #ftp
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar