Duas extensões maliciosas foram identificadas no Marketplace do Visual Studio Code, que é um editor de código mantido pela Microsoft. Apesar de funcionarem como prometido, elas executavam scripts escondidos para capturar a tela do usuário e extrair informações sensíveis — um risco direto para desenvolvedores que dependem do VS Code em seu dia a dia.
A descoberta foi feita pela Koi Security, que detalhou como as ferramentas baixavam cargas maliciosas adicionais logo após a instalação. A partir daí, iniciavam um processo de coleta silenciosa de dados, incluindo prints da tela, conteúdo da Área de Transferência, processos em execução e até credenciais de redes Wi-Fi.
- Leia mais: Cibercriminoso de 19 anos é preso na Espanha após tentar vender 64 milhões de dados pessoais
Uma das extensões maliciosas era o tema BigBlack.bitcoin-black, instalado 16 vezes. Embora mudasse a aparência do VS Code como prometido, continha eventos de ativação que rodavam scripts PowerShell em segundo plano.
A outra, BigBlack.codo-ai, tinha 25 instalações e se apresentava como um assistente de desenvolvimento baseado em inteligência artificial. Assim como a primeira, também acionava scripts após a instalação.
Ambas foram removidas do marketplace — BigBlack.bitcoin-black em 5 de dezembro e BigBlack.codo-ai em 8 de dezembro. A Microsoft ainda eliminou uma terceira extensão do mesmo autor, BigBlack.mrbigblacktheme, que continha o mesmo malware.
As três extensões instalavam uma versão adulterada do aplicativo Lightshot, legítimo para captura de tela, mas embarcado com DLLs maliciosos. Ao abrir o programa, esses arquivos eram carregados e executados como parte do ataque.
O malware também se infiltrava no diretório %appdata%, coletando dados como histórico da Área de Transferência, lista de aplicações instaladas e informações do sistema. Em seguida, todo o conteúdo era enviado para um servidor externo controlado pelos atacantes.
Quem são os alvos?
Os alvos eram desenvolvedores comuns, mas pertencentes a perfis distintos. O BigBlack.bitcoin-black, como o nome sugere, buscava atingir usuários interessados em criptomoedas — um público potencialmente com carteiras digitais ativas no dispositivo.
Já o BigBlack.codo-ai tentava alcançar um grupo bem mais amplo: programadores que procuram soluções gratuitas para melhorar a produtividade, especialmente assistentes de IA.
Como prevenir?
Assim como aplicativos baixados pela internet ou em lojas oficiais, extensões do VS Code também exigem cuidado. Ao escolher um complemento, é importante:
- Verificar se o desenvolvedor é confiável;
- Checar avaliações;
- Observar o número de instalações.
No caso dessas extensões, um dos sinais de alerta era justamente a baixa quantidade de downloads — uma pista importante para identificar riscos antes da instalação.
Quer acompanhar mais alertas de segurança, novidades em software e análises técnicas? Siga o TecMundo nas redes sociais e fique por dentro de tudo que está rolando no mundo da tecnologia.