Malware Descoberto em 19 Extensões de Código do Visual Studio – Against Invaders

Malware Descoberto em 19 Extensões de Código do Visual Studio - Against Invaders

Uma campanha envolvendo 19 extensões de Visual Studio (VS) Code que incorporam malware em suas pastas de dependência foi descoberta por pesquisadores de cibersegurança.

Ativa desde fevereiro de 2025, mas identificada em 2 de dezembro, a operação usou um pacote npm legítimo para disfarçar arquivos prejudiciais e agrupou binários maliciosos em um arquivo disfarçado de imagem PNG.

Essa abordagem, observada pelo ReversingLabs (RL), permitiu que atacantes burlassem verificações convencionais e mirassem diretamente os desenvolvedores.

Táticas de Phishing em Evolução

Uma nova onda de extensões maliciosas do VS Code tem circulado ao longo de 2025, com a ReversingLabs observando uma ascensão constante em uploads suspeitos para o VS Code Marketplace.

Algumas extensões imitam ferramentas populares, enquanto outras anunciam novos recursos, mas executam secretamente código indesejado. Até extensões confiáveis podem ser comprometidas: em julho, uma solicitação de puxada maliciosa contaminado um projeto legítimo simplesmente adicionando uma dependência prejudicial.

Nesta nova campanha, os atacantes incorporaram uma versão modificada do pacote npm path-is-absolute nas pastas node_modules extensões.

O pacote original é amplamente utilizado, com mais de 9 bilhões de downloads desde 2021, mas a versão alterada incluiu uma classe projetada para disparar malware quando o VS Code inicia. Seu objetivo era decodificar um dropper JavaScript armazenado em um arquivo chamado “lock”.

Leia mais sobre ameaças na cadeia de suprimentos do Visual StudioCode: Extensões de VS Code Maliciosas Implantam Advanced Infostealer

Os atacantes também incluíam um arquivo chamado banner.png, que parecia inofensivo, mas era aberto como um arquivo contendo dois binários.

O dropper lançava esses arquivos via cmstp.exe, um binário comum de viver da terra (LOLBIN). Um executável encerrou o processo simulando uma pressão de tecla, enquanto o outro era um Trojan baseado em Rust que ainda estava sendo analisado na época deste relatório.

Uma Ameaça Crescente aos Desenvolvedores

O ReversingLabs disse que, enquanto a maioria das extensões maliciosas dependia da dependência modificada de path is-is-absoluto, outras quatro em vez disso armaram o pacote npm @actions/io, armazenando a carga útil entre arquivos TypeScript e mapas em vez de usar o PNG disfarçado.

Embora as técnicas fossem diferentes, o objetivo permaneceu o mesmo: executar malware de forma secreta através de componentes confiáveis.

Detectar extensões maliciosas de VS Code tornou-se cada vez mais urgente, alertou a ReversingLabs. A empresa afirmou que as detecções cresceram de 27 em 2024 para 105 nos primeiros 10 meses de 2025.

Para reduzir riscos, as equipes são incentivadas a:

  • Inspecione as extensões antes da instalação

  • Audite todas as dependências agrupadas

  • Use ferramentas de segurança capazes de avaliar o comportamento dos pacotes

“Ficar seguro não é evitar extensões completamente – é reconhecer que até componentes confiáveis podem ser adulterados,”A ReversingLabs disse.

“Todas as extensões mencionadas foram reportadas à Microsoft.”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.