Extensões falsas do VSCode roubam criptomoedas e senhas de programadores
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
O grupo hacker WhiteCobra está atacando desenvolvedores através de extensões falsas criadas para editores de código como VSCode, Cursor e Windsurf. Os programas maliciosos roubam credenciais de acesso e até carteiras de criptomoeda, substituindo as extensões toda vez que as antigas são detectadas e removidas.
- 10 linguagens de programação úteis em hackathons de segurança virtual
- Ataque hacker no GitHub rouba mais de 3 mil chaves de acesso e credenciais
A descoberta partiu de Zak Cole, programador do Ethereum, que relatou o roubo de sua carteira após instalar uma extensão que parecia legítima. Ela incluía ícone profissional, descrição detalhada e mais de 54.000 downloads — número que foi inflado artificialmente pelos golpistas.
Extensões falsas e cuidados
O ataque foi estudado por pesquisadores da Koi Security, que identificou os hackers da WhiteCobra. O grupo foi responsável por roubar US$ 500 mil (R$ 2,6 milhões) em criptomoedas no último mês de julho, usando métodos parecidos. A campanha do momento inclui ao menos 24 extensões falsas disponibilizadas no Visual Studio Marketplace e Open VSX, plataforma oficial do Cursor.
As plataformas possuem compatibilidade VSIX entre si e uma verificação das extensões submetidas insuficiente, segundo a Koi Security, virando um terreno fértil para golpes. Confira as extensões falsas identificadas pela firma de segurança:
- VS Code Marketplace: awswhh da JuanFBlanco, etherfoundrys da ETHFoundry, givingblankies da EllisonBrett, wgbk da MarcusLockwood, blan-co da VitalikButerin-EthFoundation, SnowShoNo da ShowSnowcrypto, SnowShsoNo da Crypto-Extensions e rojo-roblox-vscode da Rojo;
- Open-VSX (Cursor/Windsurf): ChainDevTools.solidity-pro, kilo-code da kilocode-ai, hardhat-solidity da nomic-fdn, oxc da oxc-vscode, solidity da juan-blanco, solidity-ethereum-vsc da kineticsquid, solidityethereum da ETHFoundry, solidity-ai-ethereum da JuanFBlanco, solidity-ethereum da Ethereum, vscode-solidity da juan-blanco, solidity-hardhat da nomic-fdn, solidity da Crypto-Extension e mais.
Após a extensão ser baixada, o arquivo principal (extension.js) aparenta normalidade, com um código-fonte tão inofensivo quanto qualquer outra extensão. Um chamado sutil, no entanto, joga a execução para outro script (prompt.js) que baixa o payload malicioso do Cloudflare Pages. O malware se adapta ao sistema operacional do usuário, com versões para Windows, macOS ARM e macOS Intel.
No Windows, o script é um PowerShell que funciona com um script Python, baixando um malware LummaStealer. No macOS, o vírus é um Mach-O binário de uma família de malwares ainda desconhecida. Segundo a Koi Security, o WhiteCobra é um grupo altamente organizado, capaz de lançar campanhas hackers com ataques em menos de três horas.
Aos programadores, calha ter cuidado ao baixar extensões: verifique a autenticidade do projeto, desconfie de nomes que imitam extensões conhecidas e veja se o projeto é novo e acumulou muitos downloads e avaliações positivas em um curto período de tempo.
Veja mais:
- Ataque ao GitHub resulta em invasão de cerca de 100 mil contas
- Criminosos podem usar serviço do GitHub para distribuir malware
- Desenvolvedor sabota os próprios projetos e trava milhares de apps em protesto
VÍDEO | O Google sofreu o maior ataque hacker dos últimos anos #ctnews
Fonte: Zak Cole, Koi Security