Uma campanha sofisticada de malware infiltrou o marketplace Open VSX por meio de uma extensão falsa do Angular Language Service, comprometendo milhares de estações de trabalho de desenvolvedores.
Resumo e identificação
Pesquisadores da Annex identificaram uma extensão maliciosa publicada no Open VSX que foi baixada mais de 5.000 vezes (relatos mencionam 5.066 downloads). A extensão se passava por tooling legítimo para Angular e TypeScript, incluindo componentes autênticos além de um payload encriptado que é ativado quando arquivos HTML ou TypeScript são abertos.
Vetor, execução e persistência
Segundo a análise disponível, o pacote malicioso inclui código legítimo ao lado de payloads ocultos que são descriptografados em AES‑256‑CBC após instalação. O malware coleta credenciais de desenvolvedor (NPM e GitHub), tokens de autenticação armazenados em navegador, e chaves/seed de carteiras de cripto em cerca de 60 plataformas diferentes. Ele também encerra processos de navegador para acessar bancos de dados locais e extrai tokens OAuth de configurações do VS Code.
Infraestrutura de comando e controle baseada em blockchain
Uma característica notável da campanha é o uso de uma carteira no blockchain Solana como canal de configuração e C2. A extensão consulta um endereço de carteira (BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC) cujos campos memo armazenam instruções em Base64. A carteira mencionada recebeu 10 atualizações de configuração no último mês, com a modificação mais recente em 28 de janeiro de 2026.
Essa arquitetura de "etherhiding" (uso de transações em blockchain para esconder instruções) oferece persistência e resistência a takedowns, pois os memos em transações são imutáveis e públicos.
Evidências, alcance e foco geográfico
A campanha parece evitar execução em sistemas russos por meio de filtragem geográfica, o que, conforme a análise, sugere origem por grupos de língua russa interessados em evitar investigação local. Annex relatou que a extensão atuou por cerca de duas semanas no marketplace antes de ser identificada.
Impacto operacional
- Comprometimento de estações de desenvolvedores (5.000+ instalações relatadas).
- Exfiltração de credenciais NPM/GitHub, tokens OAuth e chaves de carteiras de criptomoeda.
- Comunicação com infraestrutura de C2 atualizável via transações Solana, aumentando a rapidez de adaptação dos operadores.
Recomendações e lacunas de informação
As informações públicas recomendam remoção imediata da extensão e revisão de credenciais e tokens usados em ambientes afetados. Falta detalhamento público sobre indicadores de compromisso (IOCs) completos e listas de servidores secundários hospedando payloads encriptados — dados que podem ajudar respostas de incidentes em larga escala.
Repercussão para equipes de segurança
Organizações que dependem de toolchains de desenvolvimento devem acelerar a revisão de extensões instaladas em estações de engenharia, aplicar controles de integridade em repositórios de extensões e rotinas de rotação/validação de credenciais. A técnica de usar blockchain como canal de configuração eleva a complexidade de mitigação, pois endereços e memos on‑chain não podem ser removidos pelos defensores.
Fontes
Relato e análise técnica publicados por Cyber Security News, com identificação inicial feita por Annex Security (Annex analysts).