Duas extensões maliciosas publicadas no VSCode Marketplace foram descobertas implantando ransomware em fase de testes, destacando falhas críticas no processo de revisão da Microsoft. As extensões, nomeadas “ahban.shiba” e “ahban.cychelloworld”, registraram sete e oito downloads, respectivamente, antes de serem finalmente removidas da loja oficial.
As extensões foram disponibilizadas na plataforma em 27 de outubro de 2024 (ahban.cychelloworld) e 17 de fevereiro de 2025 (ahban.shiba), conseguindo driblar as verificações de segurança da Microsoft por um período prolongado.
Como funcionava o ataque
O VSCode Marketplace é uma plataforma essencial para desenvolvedores de software, oferecendo extensões para aprimorar o Visual Studio Code (VSCode). No entanto, pesquisadores da ReversingLabs identificaram que essas extensões continham um comando em PowerShell projetado para baixar e executar um script remoto hospedado na Amazon AWS, com o objetivo de criptografar arquivos.
O ransomware parecia estar em uma fase inicial de desenvolvimento, pois sua ação se restringia a arquivos armazenados na pasta C:\users\%username%\Desktop\testShiba. Após a criptografia, um alerta do Windows informava: “Seus arquivos foram criptografados. Pague 1 ShibaCoin para a ShibaWallet para recuperá-los”. Diferente de ataques tradicionais, não havia uma nota de resgate ou instruções adicionais.
Falha no processo de revisão
A Microsoft removeu rapidamente as extensões do VSCode Marketplace após a denúncia da ReversingLabs. No entanto, Italy Kruk, pesquisador de segurança do ExtensionTotal, afirmou ao BleepingComputer que seu sistema de detecção automatizado já havia identificado as ameaças anteriormente e alertado a Microsoft sem obter resposta.
Notícias Relacionadas
Ciberataques silenciosos
Hackers chineses usam VShell e malware furtivo SNOWLIGHT para invadir Linux
Grupo vinculado à China utiliza malware SNOWLIGHT e ferramenta VShell para invadir sistemas Linux e macOS, em ataques furtivos com foco em persistência e acesso remoto.
Ameaça persistente
Grupo APT29 lança campanha furtiva com GrapeLoader e WineLoader
O grupo russo APT29 conduz ataques de phishing diplomático com os malwares GrapeLoader e WineLoader, usando táticas furtivas e execução na memória para espionagem avançada.
Curiosamente, a extensão “ahban.cychelloworld” não era maliciosa em sua versão original. O código de ransomware foi incluído em uma atualização posterior (versão 0.0.2), lançada em 24 de novembro de 2024. Kruk relatou essa atualização à Microsoft no dia seguinte, mas a falta de instalações significativas pode ter feito com que a empresa não priorizasse a análise.
Nos meses seguintes, “ahban.cychelloworld” recebeu mais cinco atualizações, todas contendo o código malicioso e sendo aceitas na loja da Microsoft sem detecção.
Microsoft reage de forma inconsistente
O caso expõe deficiências preocupantes no processo de verificação de segurança da Microsoft. Embora tenha demorado meses para remover essas extensões, a empresa recentemente agiu de maneira oposta ao excluir rapidamente temas do VSCode usados por 9 milhões de usuários após suspeitas de código ofuscado. Mais tarde, foi confirmado que esses temas não eram maliciosos.
Após esse erro, a Microsoft pediu desculpas pela remoção equivocada e anunciou que revisaria seus sistemas de análise para evitar problemas semelhantes no futuro. No entanto, a demora na resposta a ameaças reais levanta preocupações sobre a eficácia do processo de revisão do VSCode Marketplace, exigindo uma abordagem mais rigorosa para proteger os usuários contra ameaças emergentes.
