O Evelyn Stealer surge como um alerta direto para desenvolvedores e profissionais de TI que confiam diariamente em extensões de editores de código. Logo no primeiro contato com a ameaça, fica claro que o ataque explora um ponto sensível do ecossistema moderno de desenvolvimento, a confiança quase automática em ferramentas de produtividade instaladas no Visual Studio Code.
O gancho dessa campanha é simples e perigoso, extensões aparentemente legítimas, disponíveis para download, são usadas como vetor inicial de infecção. A partir daí, o Evelyn Stealer atua de forma silenciosa, focando no roubo de credenciais, dados sensíveis e criptomoedas, afetando tanto ambientes pessoais quanto corporativos.
Relatórios recentes divulgados por equipes de pesquisa como Trend Micro e Koi Security chamaram a atenção para o crescimento desse tipo de ataque. O destaque não está apenas no malware em si, mas na estratégia adotada, que combina engenharia social, código malicioso bem ofuscado e abuso de processos legítimos do sistema operacional.
Como o Evelyn Stealer infecta o seu ambiente
O processo de infecção do Evelyn Stealer começa de forma discreta, aproveitando a rotina do desenvolvedor. A campanha foi identificada inicialmente em extensões maliciosas publicadas para o VS Code, algumas delas se passando por ferramentas úteis ou melhorias visuais.
O papel das extensões fraudulentas BigBlack
Uma das extensões associadas à campanha foi identificada como BigBlack. À primeira vista, ela se apresenta como um complemento inofensivo, mas, após a instalação, passa a executar código adicional fora do escopo esperado de uma extensão comum.
O grande risco está no fato de que muitos usuários não revisam cuidadosamente as permissões solicitadas pelo VS Code. Isso permite que extensões como a BigBlack iniciem scripts externos e preparem o terreno para a próxima etapa da infecção.
O processo de infecção via DLL e PowerShell
Após a instalação da extensão, o Evelyn Stealer utiliza um processo de DLL side-loading, explorando um arquivo chamado Lightshot.dll. Esse nome não é aleatório, ele remete a um software legítimo bastante conhecido, o que reduz a chance de detecção imediata.
Em paralelo, comandos PowerShell são executados em segundo plano. Esses comandos são responsáveis por baixar o payload principal do malware, configurar persistência no sistema e iniciar a coleta de dados. Tudo isso ocorre sem exibir janelas visíveis ou alertas claros para o usuário.
O que o malware rouba e como ele se esconde
Uma vez ativo, o Evelyn Stealer passa a cumprir seu objetivo principal, a exfiltração de dados sensíveis. O foco não se limita a um único tipo de informação, o que amplia significativamente o impacto do ataque.
Entre os dados coletados estão carteiras de criptomoedas, cookies de navegadores, credenciais salvas, informações de redes Wi-Fi e dados armazenados no Google Chrome e outros navegadores baseados em Chromium. Em ambientes corporativos, isso pode abrir portas para acessos não autorizados a sistemas internos e serviços em nuvem.
Técnicas de evasão usadas pelo Evelyn Stealer
Para permanecer oculto, o Evelyn Stealer faz uso de técnicas de evasão relativamente sofisticadas. Uma delas é a execução do código malicioso por meio de processos legítimos do Windows, o que dificulta a identificação por soluções de segurança baseadas apenas em comportamento.
Outra técnica observada envolve o uso de comandos ocultos do navegador. O malware pode abrir instâncias do Chrome com parâmetros específicos que posicionam a janela fora da área visível da tela. Dessa forma, atividades como o roubo de cookies ou a captura de sessões ativas acontecem sem que o usuário perceba qualquer comportamento estranho.
O surgimento de novas ameaças: MonetaStealer e SolyxImmortal
O Evelyn Stealer não está sozinho. Pesquisadores também identificaram outras ameaças que seguem uma lógica semelhante, como MonetaStealer e SolyxImmortal. Esses malwares compartilham o foco em desenvolvedores e usuários avançados, mas exploram plataformas diferentes.
Algumas dessas variantes são escritas em Python e têm como alvo principal o macOS. Em vez de servidores tradicionais, utilizam plataformas como Discord para a exfiltração de dados, aproveitando a popularidade e o tráfego legítimo desses serviços para evitar bloqueios.
Esse cenário reforça uma tendência preocupante, atacantes estão investindo tempo em compreender o fluxo de trabalho de desenvolvedores e adaptar suas ferramentas para ambientes multiplataforma, incluindo Linux, Windows e macOS.
Como se proteger no VS Code
Diante desse cenário, adotar boas práticas de segurança no VS Code deixou de ser opcional. Desenvolvedores precisam tratar extensões com o mesmo nível de cautela que aplicam a downloads de software tradicionais.
A primeira recomendação é verificar sempre a procedência das extensões. Avaliar o nome do desenvolvedor, histórico de atualizações e comentários de outros usuários pode ajudar a identificar comportamentos suspeitos. Extensões com poucas avaliações ou descrições vagas merecem atenção redobrada.
Outra medida importante é revisar as permissões solicitadas. Se uma extensão simples pede acesso excessivo ao sistema ou a recursos que não condizem com sua função, isso pode ser um sinal de alerta. Manter o VS Code e o sistema operacional atualizados também reduz a superfície de ataque explorável.
O uso de soluções de segurança atualizadas, capazes de monitorar scripts PowerShell, carregamento de DLLs e comportamento anômalo de processos, complementa a proteção. Em ambientes corporativos, políticas de restrição para instalação de extensões podem fazer uma grande diferença.
Conclusão
O Evelyn Stealer representa um novo nível de sofisticação em ataques voltados a desenvolvedores. Ao explorar extensões do VS Code, o malware se infiltra em um ambiente de alta confiança e opera de forma silenciosa, roubando dados valiosos e criptomoedas sem levantar suspeitas imediatas.
O impacto vai além do usuário individual, ambientes corporativos e projetos inteiros podem ser comprometidos a partir de uma única extensão maliciosa. A chamada à ação é clara, fique atento às permissões, desconfie de ferramentas pouco conhecidas e trate extensões com o mesmo cuidado que qualquer outro software crítico do seu dia a dia.