Extensão Open VSX comprometida usa GitHub para implantar RAT e roubo de dados
Uma extensão popular do editor de código listada no registro Open VSX foi descoberta carregando malware oculto que busca e executa silenciosamente um trojan de acesso remoto (RAT) e um infostealer completo diretamente nas máquinas dos desenvolvedores, sem nenhum aviso visível.
Descoberta e escopo
A extensão, conhecida como fast-draft sob a conta do editor KhangNghiem, acumulou mais de 26.000 downloads antes que a atividade maliciosa embutida em várias versões específicas finalmente viesse à tona. A análise foi realizada por analistas da Aikido, que identificaram a extensão comprometida durante uma revisão manual cuidadosa linha por linha da linha de lançamento.
Vetor e exploração
O ataque se desenhou através de um padrão deliberado espalhado por versões específicas de lançamento. As versões 0.10.89, 0.10.105, 0.10.106 e 0.10.112 continham código que se conectava a um repositório GitHub controlado por um ator de ameaças chamado BlokTrooper. A extensão puxava scripts de shell específicos da plataforma diretamente de raw.githubusercontent[.]com/BlokTrooper/extension e canalizava toda a resposta diretamente para um shell do sistema.
Impacto e alcance
O impacto deste comprometimento é amplo e sério. Qualquer desenvolvedor que tivesse uma das versões maliciosas instaladas entregou involuntariamente ao atacante o controle total de sua máquina. Com mais de 26.594 downloads registrados no registro Open VSX, a exposição potencial entre desenvolvedores de código aberto e equipes de software em todo o mundo é muito significativa.
Setores afetados
Desenvolvedores de software, equipes de engenharia e empresas de tecnologia que utilizam extensões de editores de código são os principais afetados. No Brasil, onde o setor de tecnologia e desenvolvimento de software tem crescido rapidamente, a segurança da cadeia de suprimentos de software é crítica para a proteção de ativos digitais.
Medidas de mitigação recomendadas
Desenvolvedores devem verificar imediatamente se têm alguma versão instalada do fast-draft correspondente a 0.10.89, 0.10.105, 0.10.106 ou 0.10.112 e removê-la sem demora. Todas as credenciais armazenadas, frases de seed de carteiras de criptomoedas e chaves de API em máquinas afetadas devem ser rotacionadas prontamente.
Implicações regulatórias (LGPD)
O roubo de credenciais e dados de desenvolvedores pode levar ao vazamento de dados de clientes ou propriedade intelectual, acionando obrigações de notificação sob a LGPD. Empresas devem avaliar se o comprometimento de suas ferramentas de desenvolvimento resultou em exposição de dados pessoais.
O que os CISOs devem fazer imediatamente
Equipes de rede devem bloquear e monitorar todo o tráfego de saída para 195[.]201[.]104[.]53 nas portas 6931, 6936 e 6939, e sinalizar qualquer solicitação para raw.githubusercontent[.]com/BlokTrooper nos logs de rede. A revisão manual de extensões de terceiros deve ser parte integrante do processo de segurança de software.
Perguntas frequentes
- Por que a extensão foi comprometida? O padrão alternado de versões limpas e maliciosas sugere fortemente uma conta de editor comprometida ou um token de lançamento roubado.
- Como evitar ataques semelhantes? Implementar políticas de aprovação de extensões e verificar a reputação dos publicadores antes da instalação.