CriptomoedasNotícias

Extensão VSCode maliciosa rouba US$ 500 Mil: Se proteja agora

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Imagem com criptomoeda

Um desenvolvedor perdeu US$ 500 mil por causa de uma extensão falsa no editor de código. Entenda como o ataque funciona e como você pode se proteger.

Um desenvolvedor experiente perdeu US$ 500 mil em criptomoedas (cerca de R$ 2,7 mi) por causa de algo que milhões de programadores utilizam todos os dias: uma extensão para o editor de código. O incidente, que envolveu o Cursor AI IDE — uma variação moderna e popular do VSCode —, levanta um alerta preocupante sobre os perigos que podem estar escondidos até nas ferramentas mais familiares do nosso cotidiano.

Conteúdo

Este artigo analisa o caso da extensão maliciosa “Solidity Language”, distribuída de forma fraudulenta no Open VSX, um marketplace alternativo para extensões de editores baseados em VSCode. Vamos explicar como o ataque aconteceu, por que desenvolvedores são alvos valiosos e, o mais importante, como se proteger dessas ameaças que exploram a confiança da comunidade.

À medida que a cadeia de suprimentos de software se torna mais complexa e interconectada, o risco de ataques se infiltrar através de canais aparentemente legítimos também aumenta. Este episódio serve como um sinal de alerta para todos os profissionais da área de desenvolvimento e segurança: a vigilância precisa começar no próprio ambiente de trabalho.

O golpe em detalhes: anatomia de um ataque sofisticado

A recente análise publicada pela Kaspersky revela um esquema cuidadosamente arquitetado para parecer legítimo e enganar até os desenvolvedores mais atentos. O ataque começa com uma simples instalação de extensão — algo rotineiro — e termina com o comprometimento completo da máquina e o roubo de carteiras de criptomoedas.

Os criminosos clonaram uma extensão legítima para a linguagem Solidity, usada para programar contratos inteligentes na blockchain Ethereum. Em vez de distribuí-la por meios confiáveis, como o Visual Studio Marketplace, eles a publicaram no Open VSX, um repositório alternativo, com menos curadoria.

Para gerar uma aparência de confiabilidade, inflaram artificialmente o número de downloads, fazendo parecer que a extensão era amplamente usada e bem avaliada. Com isso, desenvolvedores desavisados foram levados a instalar a ferramenta acreditando se tratar de uma versão legítima.

O alvo foi um desenvolvedor russo que usava o Cursor AI IDE, um fork moderno e popular do VSCode, compatível com extensões do Open VSX.

A cadeia de infecção: do script ao controle total do sistema

Assim que instalada, a extensão ativava um arquivo malicioso chamado extension.js, que executava um script em PowerShell. Esse script era responsável por iniciar a cadeia de infecção:

  1. Instalação do ScreenConnect – Uma ferramenta legítima de acesso remoto, mas utilizada aqui como backdoor. Com ela, os atacantes obtinham controle total sobre o sistema da vítima.
  2. Execução do Quasar RAT – Um trojan de acesso remoto conhecido, que permite espionagem em tempo real, execução de comandos e movimentação lateral.
  3. Implantação do infostealer PureLogs – Especializado em capturar credenciais salvas, carteiras de criptomoedas e dados de navegação, o PureLogs é o responsável direto pelo roubo dos US$ 500 mil da carteira do desenvolvedor.

A combinação dessas ferramentas concedeu aos criminosos controle irrestrito, transformando uma extensão aparentemente inofensiva em um canal de ataque devastador.

Por que os desenvolvedores são alvos tão valiosos?

Este caso não foi um ataque oportunista — ele foi estrategicamente direcionado a um desenvolvedor, e isso diz muito sobre as prioridades dos cibercriminosos.

Desenvolvedores possuem acesso privilegiado a componentes críticos de infraestrutura: repositórios de código, servidores de produção, bancos de dados, chaves de API, tokens de autenticação e, em alguns casos, carteiras de criptomoedas pessoais ou de projetos.

Comprometer um desenvolvedor não é apenas uma forma de obter ganhos financeiros imediatos, como no caso do roubo de criptos. É também uma porta de entrada para ataques mais amplos, atingindo startups, empresas de software ou até grandes plataformas de blockchain.

Além disso, muitas vezes esses profissionais operam em ambientes locais sem as mesmas proteções robustas dos sistemas corporativos — o que os torna vulneráveis e expostos.

Como se proteger de extensões maliciosas no VSCode e similares

Diante desse cenário alarmante, é fundamental transformar o medo em ação. Abaixo, listamos medidas práticas e acionáveis para proteger seu ambiente de desenvolvimento contra ameaças embutidas em extensões de código.

Verifique o publicador e a contagem de downloads (com cautela)

Antes de instalar qualquer extensão, verifique cuidadosamente o nome do publicador. Extensões publicadas por organizações conhecidas ou desenvolvedores com reputação consolidada são mais confiáveis. No entanto, cuidado: números de download podem ser manipulados, como foi o caso da extensão falsa “Solidity Language”.

Não confie apenas nos números. Busque verificações externas, leia os comentários e, sempre que possível, valide se a extensão é distribuída em marketplaces mais confiáveis.

Desconfie de permissões e comportamentos estranhos

Pergunte a si mesmo: por que uma extensão de destaque de sintaxe precisa de acesso à internet ou permissões administrativas? Extensões que executam scripts ou mostram comportamentos inesperados — como lentidão, pop-ups, ou conexões de rede anômalas — devem ser desinstaladas imediatamente.

Ferramentas como firewalls pessoais, antivírus e soluções de monitoramento de rede podem ajudar a identificar atividades suspeitas após a instalação de uma extensão.

Prefira marketplaces oficiais, mas mantenha a vigilância

O Visual Studio Marketplace oferece curadoria e verificação mais rigorosas do que o Open VSX, mas nem mesmo isso garante 100% de segurança. Segundo a própria Kaspersky, variantes do malware também foram identificadas no marketplace oficial.

Portanto, mesmo em ambientes mais confiáveis, mantenha o hábito de auditar extensões periodicamente e evitar instalar ferramentas de fontes desconhecidas ou pouco documentadas.

Conclusão: a vigilância é a sua melhor linha de defesa

O caso do desenvolvedor russo que perdeu US$ 500 mil por meio de uma extensão maliciosa para VSCode não é um episódio isolado. Ele representa um novo vetor de ataque dentro da cadeia de suprimentos de software, explorando a confiança que desenvolvedores depositam nas ferramentas do dia a dia.

Extensões são uma forma conveniente de aumentar a produtividade, mas também podem ser usadas como cavalo de Troia para invadir ambientes sensíveis. Não basta confiar — é preciso verificar, monitorar e revisar constantemente o que está instalado no seu IDE.

Aproveite o momento e faça uma auditoria nas extensões que você tem instaladas no seu editor de código. Compartilhe este alerta com sua equipe e amigos desenvolvedores. A segurança começa com o conhecimento.

TAGGED:
Compartilhe este artigo
Artigo anterior usuarios-do-android-agora-podem-transferir-seus-esims-para-qualquer-outro-telefone-android Vulnerabilidade eSIM: Bilhões de aparelhos em risco? Entenda
Próximo artigo Gemini Space Gemini Space: O novo At a Glance do Pixel
Kernel

Kernel Linux: suporte EDAC chega para Intel Wildcat Lake, Raptor Lake-HX e Granite Rapids-D, elevando a confiabilidade da memória em novas CPUs

Banner em fundo azul com o texto ‘Kernel Linux’ e ilustração do pinguim Tux estilizado em verde, cercado por marcações vermelhas.

Memória ECC blindada: Kernel Linux leva EDAC às novas CPUs Intel Wildcat Lake, Raptor Lake-HX e Granite Rapids-D

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto