Campanha infiltra 19 extensões maliciosas no VS Code Marketplace
Pesquisa técnica revela campanha coordenada que publicou 19 extensões comprometidas no marketplace do VS Code, escondendo binários em arquivos PNG e modificando dependências para executar código malicioso nos ambientes dos desenvolvedores.
Descoberta e escopo / O que mudou agora
Relatório citado pelo Cyber Security News (origem técnica: ReversingLabs) descreve que a campanha permaneceu ativa desde fevereiro de 2025 e abusou da estrutura de pacotes das extensões (node_modules pré‑embarcados) para incluir dependências com código malicioso. O pacote alvo mencionado é o popular “path‑is‑absolute”.
Vetor e exploração / Mitigações
Os autores ocultaram um dropper JavaScript dentro de um arquivo banner.png, usando base64 e inversão de strings. Ao iniciar o VS Code, o índice modificado executa a rotina que decodifica e aciona o dropper. O dropper, por sua vez, usa ferramentas legítimas do sistema (como cmstp.exe em Windows) para implantar dois binários — um gerenciador do ataque e outro trojan em Rust. Algumas extensões usaram alternativa dividindo binários em .ts/.map.
- Mitigações imediatas: auditar extensões instaladas, remover pacotes não verificados, usar repositórios corporativos de extensões aprovadas e aplicar scanners de segurança em pacotes antes da instalação;
- Hardening do ambiente de desenvolvimento: evitar execução automática de código de dependências não auditadas, isolar ambientes de desenvolvimento com privilégios reduzidos e aplicar políticas de observabilidade em endpoints de desenvolvedores;
- Resposta técnica: inspecionar node_modules em instalações suspeitas, verificar alterações em arquivos index.js de dependências populares e bloquear execuções conhecidas de cmstp.exe com parâmetros anômalos.
Impacto e alcance / Setores afetados
O alvo são desenvolvedores; a cadeia de suprimentos do software pode ser comprometida se extensões maliciosas forem usadas em pipelines de build ou CI/CD. ReversingLabs relata aumento expressivo em detecções contra VS Code ao longo de 2025, indicando um foco crescente de atacantes no ecossistema de desenvolvimento.
Limites das informações / O que falta saber
O relatório técnico documenta o mecanismo e extensões envolvidas, mas a matéria não lista todas as 19 extensões pelo nome nem quantifica vítimas. Investigações em repositórios oficiais e dados de telemetria das plataformas podem complementar a avaliação de impacto.
Repercussão / Próximos passos
Equipes de desenvolvimento e segurança devem tratar a cadeia de ferramentas como componente crítico de risco: implementar whitelist de extensões, usar agentes de segurança em endpoints de desenvolvedores e auditar builds automatizados. A descoberta reforça a necessidade de monitoramento do supply chain de software e revisão de dependências populares como “path‑is‑absolute”.