Extensões maliciosas no VSCode Marketplace baixavam ransomware em testes

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...

Duas extensões maliciosas publicadas no VSCode Marketplace foram descobertas implantando ransomware em fase de testes, destacando falhas críticas no processo de revisão da Microsoft. As extensões, nomeadas “ahban.shiba” e “ahban.cychelloworld”, registraram sete e oito downloads, respectivamente, antes de serem finalmente removidas da loja oficial.

As extensões foram disponibilizadas na plataforma em 27 de outubro de 2024 (ahban.cychelloworld) e 17 de fevereiro de 2025 (ahban.shiba), conseguindo driblar as verificações de segurança da Microsoft por um período prolongado.

Como funcionava o ataque

Imagem com a logomarca do VSCode

O VSCode Marketplace é uma plataforma essencial para desenvolvedores de software, oferecendo extensões para aprimorar o Visual Studio Code (VSCode). No entanto, pesquisadores da ReversingLabs identificaram que essas extensões continham um comando em PowerShell projetado para baixar e executar um script remoto hospedado na Amazon AWS, com o objetivo de criptografar arquivos.

O ransomware parecia estar em uma fase inicial de desenvolvimento, pois sua ação se restringia a arquivos armazenados na pasta C:\users\%username%\Desktop\testShiba. Após a criptografia, um alerta do Windows informava: “Seus arquivos foram criptografados. Pague 1 ShibaCoin para a ShibaWallet para recuperá-los”. Diferente de ataques tradicionais, não havia uma nota de resgate ou instruções adicionais.

Falha no processo de revisão

A Microsoft removeu rapidamente as extensões do VSCode Marketplace após a denúncia da ReversingLabs. No entanto, Italy Kruk, pesquisador de segurança do ExtensionTotal, afirmou ao BleepingComputer que seu sistema de detecção automatizado já havia identificado as ameaças anteriormente e alertado a Microsoft sem obter resposta.

Curiosamente, a extensão “ahban.cychelloworld” não era maliciosa em sua versão original. O código de ransomware foi incluído em uma atualização posterior (versão 0.0.2), lançada em 24 de novembro de 2024. Kruk relatou essa atualização à Microsoft no dia seguinte, mas a falta de instalações significativas pode ter feito com que a empresa não priorizasse a análise.

Nos meses seguintes, “ahban.cychelloworld” recebeu mais cinco atualizações, todas contendo o código malicioso e sendo aceitas na loja da Microsoft sem detecção.

Microsoft reage de forma inconsistente

O caso expõe deficiências preocupantes no processo de verificação de segurança da Microsoft. Embora tenha demorado meses para remover essas extensões, a empresa recentemente agiu de maneira oposta ao excluir rapidamente temas do VSCode usados por 9 milhões de usuários após suspeitas de código ofuscado. Mais tarde, foi confirmado que esses temas não eram maliciosos.

Após esse erro, a Microsoft pediu desculpas pela remoção equivocada e anunciou que revisaria seus sistemas de análise para evitar problemas semelhantes no futuro. No entanto, a demora na resposta a ameaças reais levanta preocupações sobre a eficácia do processo de revisão do VSCode Marketplace, exigindo uma abordagem mais rigorosa para proteger os usuários contra ameaças emergentes.

Compartilhe este artigo