Pesquisadores descobriram duas extensões maliciosas para o Visual Studio Code que se apresentavam como assistentes de programação com IA, mas incluíam funcionalidade oculta para exfiltrar código-fonte de desenvolvedores para servidores na China. As extensões somavam cerca de 1,5 milhão de instalações, informa The Hacker News.
Descoberta e escopo
Segundo o The Hacker News, as duas extensões maliciosas estavam publicadas no marketplace oficial do Visual Studio Code e, juntas, atingiam 1,5 milhão de instalações. A matéria afirma que as extensões se anunciavam como ferramentas de produtividade/IA, porém embutiam rotinas para coletar e enviar dados dos projetos dos usuários a servidores externos.
Mecanismo de exfiltração
O texto descreve a existência de funcionalidade covert que transferia código-fonte para servidores localizados na China. The Hacker News não publica, no trecho consultado, amostras de código nem uma análise técnica detalhada dos módulos responsáveis pela exfiltração.
Impacto para desenvolvedores e cadeias de suprimentos
Extensões com grande adoção em ambientes de desenvolvimento representam risco de supply chain: elas têm acesso direto aos arquivos do projeto e, se forem maliciosas, podem extrair propriedade intelectual, segredos (chaves, tokens) e informações sensíveis de infraestrutura. O alcance reportado (1,5M de installs) indica potencial exposição em larga escala.
Limites e informações ausentes
A matéria não menciona identificação dos nomes das extensões, indicadores de comprometimento, nem se a Microsoft removeu as extensões do marketplace no momento da publicação. Também não há confirmação de quantos usuários efetivamente tiveram dados exfiltrados versus número de instalações.
Medidas imediatas recomendadas
- Auditar extensões instaladas no VS Code em todos os endpoints de desenvolvimento e remover extensões não autorizadas.
- Rotacionar credenciais e tokens que possam ter sido usados em ambientes que instalaram as extensões.
- Proibir instalação de extensões por padrão em máquinas com acesso a código sensível; estabelecer catálogos aprovados.
- Monitorar tráfego de rede para endpoints de desenvolvimento em busca de conexões suspeitas a domínios/servidores não reconhecidos.
Repercussão
O incidente ressalta a necessidade de políticas de segurança de desenvolvimento mais rígidas e de controles de supply chain voltados a artefatos de produtividade (extensões, plugins). The Hacker News traz o alerta inicial; aguardam-se detalhes técnicos e ação direta da Microsoft sobre remoção e takedown do conteúdo malicioso.
Fonte: The Hacker News. A matéria contém informações iniciais de detecção; recomenda-se que equipes de desenvolvimento tratem o caso como incidente potencial e procedam à investigação interna.