Extensões de Código VS Maliciosas Implantam Advanced Infostealer – Against Invaders

Extensões de Código VS Maliciosas Implantam Advanced Infostealer - Against Invaders

Um novo par de extensões maliciosas do Visual Studio Code, capazes de coletar capturas de tela, sessões de navegador e credenciais armazenadas, foi descoberto por pesquisadores de cibersegurança.

As extensões, Bitcoin Black e Codo AI, estavam disponíveis no marketplace de VS Code e foram observadas entregando um infostealer furtivo baseado em DLLs por meio de uma combinação incomum de engenharia social e disfarce técnico.

As ferramentas maliciosas foram detalhadas em um relatório publicado pela equipe de pesquisa Koi Security na segunda-feira.

Duas Extensões, Uma Campanha

Koi disse que o que há de novo nessa campanha é a forma como o atacante embalou as ferramentas.

O Bitcoin Black se apresentava como um esquema de cores com tema de criptomoedas, enquanto a Codo AI oferecia um assistente de codificação funcional que integrava o ChatGPT e o DeepSeek. Ambos, no entanto, executavam scripts ocultos que baixavam um payload usando uma versão incluída da ferramenta de captura de tela Lightshot combinada com uma DLL maliciosa.

Os pesquisadores descobriram que o Bitcoin Black, apesar de afirmar ser apenas um tema, usava eventos de ativação e execução PowerShell incomuns para temas legítimos.

A Codo AI foi além ao fornecer recursos de codificação genuínos, que ajudaram o atacante a evitar suspeitas durante a instalação e uso.

Leia mais sobre segurança de ferramentas para desenvolvedores: Desenvolvedor da Ferramenta da Red Team, Shellter, admite ‘uso indevido’ por adversários

Koi disse que analisaram múltiplas versões das extensões e observaram um refinamento rápido. A versão 2.5.0 dependia de uma rotina complexa do PowerShell que baixava um arquivo ZIP protegido por senha e tentava extrair por meio de vários métodos de backup.

Na versão 3.3.0, o atacante havia simplificado a cadeia de entrega, mudando para um script lote oculto que buscava um executável e DLL diretamente por HTTP e impedia execuções repetidas por meio de um arquivo de marcador.

O infostealer coletou uma ampla variedade de informações, incluindo:

  • Conteúdo da prancheta

  • Programas instalados

  • Processos em execução

  • Capturas de tela da área de trabalho

  • Credenciais WiFi armazenadas

  • Dados da sessão do navegador

Sequestro de DLL e Links C2

Como mencionado acima, o payload usava sequestro de DLL ao emparelhar um executável legítimo do Lightshot com a DLL do atacante. Esse método permitia que o malware rodasse sob o disfarce de um binário confiável.

A Koi Security identificou domínios de comando e controle (C2) projetados para receber dados exfiltrados, junto com um nome mutex distinto destinado a impedir que múltiplas instâncias fossem executadas simultaneamente.

Os pesquisadores atribuíram ambas as extensões ao mesmo ator ameaçador experimentando iscas separadas.

“Um desenvolvedor poderia instalar o que parece ser um tema inofensivo ou uma ferramenta de IA útil, e em segundos suas senhas WiFi, conteúdo da área de transferência e sessões do navegador estão sendo exfiltrados para um servidor remoto,”eles explicaram.

“No momento em que estou escrevendo, a Codo AI ainda está disponível no marketplace do VS Code. A superfície de ataque para ferramentas de desenvolvedores continua a se expandir, e os atacantes estão atentos.”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.