CibersegurançaNotícias

Extensões VSCode maliciosas no OpenVSX: Proteja-se agora

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Imagem com a logomarca do VSCode

Descubra como o ator de ameaças TigerJack está usando o OpenVSX para distribuir malware que rouba seu código e minera criptomoedas, e aprenda a se proteger.

O Visual Studio Code (VSCode) é hoje um dos editores de código mais populares do mundo, amplamente utilizado por desenvolvedores de todos os níveis. Sua força está na flexibilidade e na vasta biblioteca de extensões, que ampliam as funcionalidades da ferramenta e tornam o desenvolvimento mais produtivo. No entanto, essa mesma característica se tornou um alvo atraente para cibercriminosos.

Conteúdo

Recentemente, pesquisadores identificaram extensões VSCode maliciosas que roubam dados e até mineram criptomoedas nas máquinas das vítimas. O alerta foi feito pela empresa de segurança Koi Security, que revelou uma campanha coordenada conduzida por um ator conhecido como TigerJack. Embora algumas dessas extensões tenham sido removidas do marketplace oficial da Microsoft, versões idênticas continuam ativas e disponíveis no registro OpenVSX, amplamente utilizado por editores alternativos como VSCodium.

Este artigo explica como essas extensões funcionam, por que representam um risco real à cadeia de suprimentos de software e o que os desenvolvedores podem fazer para se proteger.

Função maliciosa Imagem: Koi Security
Função maliciosa Imagem: Koi Security

O que está acontecendo: o caso TigerJack e as extensões maliciosas

A investigação da Koi Security identificou diversas extensões publicadas por um ator de ameaças batizado de TigerJack, que vem explorando a confiança da comunidade de desenvolvedores. As extensões são projetadas para parecerem legítimas, utilizando nomes genéricos e funcionais, como C++ Playground e HTTP Format, para atrair downloads.

Esses pacotes foram originalmente publicados em múltiplos marketplaces, incluindo o da Microsoft, mas mesmo após a remoção oficial, continuam disponíveis no registro alternativo OpenVSX. Isso cria uma falsa sensação de segurança entre os usuários de editores compatíveis com o VSCode, como VSCodium, Eclipse Theia e Cursor, que utilizam o OpenVSX como fonte padrão de extensões.

De acordo com a Koi Security, o objetivo de TigerJack é coletar dados sensíveis de desenvolvedores e explorar os recursos de seus sistemas, utilizando técnicas sofisticadas de persistência e comunicação remota com servidores externos.

Como os malwares funcionam: de ladrões de código a mineradores de cripto

As extensões VSCode maliciosas identificadas apresentam comportamentos variados e altamente perigosos. A seguir, os principais vetores de ataque utilizados por TigerJack.

Roubo de código-fonte em tempo real

A extensão C++ Playground é um exemplo claro desse tipo de ataque. Ela utiliza um ouvinte de eventos, o método onDidChangeTextDocument, que é executado sempre que o desenvolvedor altera um arquivo no editor. Esse recurso é abusado para copiar trechos de código em tempo real e enviá-los automaticamente para um servidor remoto controlado pelo invasor.

Essa técnica permite o roubo de propriedade intelectual, código proprietário e até credenciais embutidas em scripts, sem que o usuário perceba. Em ambientes corporativos, isso pode comprometer repositórios inteiros e projetos confidenciais.

Mineração de criptomoedas oculta

Já a extensão HTTP Format foi projetada para executar um minerador de criptomoedas CoinIMP diretamente no ambiente do desenvolvedor. O código malicioso é disfarçado em scripts aparentemente inofensivos, que rodam em segundo plano assim que a extensão é carregada.

O resultado é uma alta utilização de CPU e energia, impactando o desempenho da máquina e reduzindo a vida útil de componentes. Além disso, a mineração ocorre sem o consentimento do usuário, caracterizando uma violação direta de privacidade e uso indevido de recursos.

Backdoor para execução remota de código

O comportamento mais crítico identificado está em extensões que se comunicam periodicamente com servidores externos — a cada 20 minutos, segundo o relatório da Koi Security — para buscar e executar código JavaScript remoto. Essa função transforma o editor em uma porta de entrada para ataques mais amplos, permitindo desde o roubo de credenciais até a instalação de ransomware ou outras ferramentas de controle remoto.

Esse tipo de backdoor é especialmente perigoso em ambientes corporativos e DevOps, pois pode comprometer pipelines inteiros de integração contínua (CI/CD), expondo tokens de API, chaves SSH e credenciais de acesso a nuvem.

O perigo mora no OpenVSX: por que o registro alternativo está em risco?

O OpenVSX é um marketplace de extensões de código aberto, mantido pela comunidade, e usado como alternativa ao marketplace oficial da Microsoft. Ele é essencial para projetos que não podem usar software proprietário, como o VSCodium — uma versão sem telemetria do VSCode.

No entanto, essa abertura tem um preço. Apesar de o relatório da Koi Security ter sido enviado aos mantenedores do OpenVSX, as extensões maliciosas permanecem disponíveis para download até o momento. Isso significa que qualquer usuário pode, inadvertidamente, instalar uma dessas extensões e infectar seu ambiente de desenvolvimento.

Esse caso expõe um dilema recorrente entre liberdade e segurança: plataformas abertas oferecem maior autonomia e transparência, mas enfrentam desafios significativos em moderação, auditoria e verificação de identidade de publicadores. Sem mecanismos de validação robustos, torna-se fácil para atores maliciosos explorar a confiança da comunidade.

Como se proteger: dicas práticas para desenvolvedores

Diante desse cenário, é essencial que os desenvolvedores tomem medidas preventivas para garantir a segurança do ambiente de desenvolvimento. A seguir, algumas recomendações práticas:

  • Verifique suas extensões instaladas: No VSCode, use o comando code --list-extensions (ou acesse a aba de extensões) para revisar tudo o que está instalado. Remova extensões desconhecidas ou suspeitas.
  • Desconfie de extensões pouco conhecidas: Antes de instalar qualquer extensão, verifique o número de downloads, avaliações e o nome do publicador. Extensões novas ou sem histórico merecem atenção redobrada.
  • Prefira publicadores verificados: Opte sempre por extensões de fontes confiáveis, como a Microsoft, Red Hat, GitHub, ou publicadores com selo de verificação.
  • Monitore o consumo de recursos: Um aumento súbito no uso de CPU ou energia enquanto o editor está aberto pode indicar a presença de mineração oculta de criptomoedas.
  • Use editores com sandboxing (quando possível): Ambientes que isolam a execução de extensões ajudam a limitar o impacto de comportamentos maliciosos.
  • Mantenha o sistema atualizado: Atualizações frequentes reduzem a superfície de ataque e podem remover extensões comprometidas automaticamente.

Essas práticas simples podem reduzir significativamente os riscos e ajudar a detectar extensões VSCode maliciosas antes que causem danos.

Conclusão: um lembrete sobre a segurança na cadeia de suprimentos de software

O caso TigerJack serve como um lembrete contundente de que a segurança não termina no código que escrevemos. Ferramentas e extensões que usamos diariamente também podem ser vetores de ataque, especialmente em um cenário onde o ecossistema de desenvolvimento está cada vez mais descentralizado.

A presença contínua de extensões maliciosas no OpenVSX demonstra que o problema não é pontual — ele faz parte de um desafio maior na cadeia de suprimentos de software. Por isso, é fundamental que desenvolvedores revisem suas extensões, reforcem práticas de segurança e compartilhem informações como esta com colegas e comunidades técnicas.

Manter o ambiente de desenvolvimento seguro é proteger não apenas o seu trabalho, mas também o ecossistema inteiro do qual todos dependemos.

TAGGED:
Compartilhe este artigo
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Follow:
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.
Artigo anterior A inteligência artificial é o carro voador da mente – saiba o porquê A inteligência artificial é o carro voador da mente – saiba o porquê
Próximo artigo Frore apresenta a tecnologia LiquidJet para GPUs Feynman de alta potência Frore apresenta a tecnologia LiquidJet para GPUs Feynman de alta potência
Games

Gregg Mayles se despede da Rare com uma poesia emocionante

Gregg Mayles se despede da Rare com uma poesia emocionante

Gregg Mayles, icônico diretor de jogos da Rare, anuncia sua saída em uma poesia tocante. Descubra os detalhes dessa transição.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto