Código inseguro

Extensões maliciosas no VSCode disfarçam mineração de criptomoedas

Pesquisadores identificam nove extensões no VSCode Marketplace que, ao invés de ajudarem desenvolvedores, instalam um minerador de criptomoedas escondido no sistema.

07/04/2025 16:00

Uma investigação recente revelou que nove extensões disponíveis no marketplace oficial do Visual Studio Code (VSCode) estavam infectando usuários do Windows com malware especializado em mineração de criptomoedas. Embora se apresentassem como utilitários legítimos, esses complementos escondiam o minerador XMRig, utilizado para minerar moedas como Monero (XMR) e Ethereum (ETH).

Ferramentas falsas usam o Visual Studio Code para espalhar malware

O Visual Studio Code, da Microsoft, é amplamente utilizado por desenvolvedores por sua versatilidade e suporte a extensões. Essas ferramentas adicionais podem ser instaladas por meio do VSCode Marketplace, o que torna o ambiente ainda mais funcional — e, infelizmente, vulnerável.

Lista de extensões comprometidas

A descoberta, feita pelo pesquisador Yuval Ronen da plataforma ExtensionTotal, ocorreu no dia 4 de abril de 2025. Todas as extensões investigadas estavam disponíveis no portal oficial da Microsoft. Veja algumas das mais notáveis:

Discord Rich Presence para VS Code (por Mark H) – 189 mil instalações
Rojo – Roblox Studio Sync (por evaera) – 117 mil instalações
Solidity Compiler (por VSCode Developer) – 1,3 mil instalações
Claude AI, Compilador Golang, Agente ChatGPT, HTML Obfuscator, Python Obfuscator e Compilador Rust, todos atribuídos a Mark H

Apesar de parecerem populares, com mais de 300 mil instalações combinadas, há indícios de que esses números foram inflados artificialmente para aumentar a credibilidade das extensões.

Como o ataque funciona

Ao serem ativadas, essas extensões maliciosas acessam um script PowerShell hospedado externamente, no domínio asdf11[.]xyz. Esse script realiza uma série de ações silenciosas no sistema:

Persistência e inicialização automática: cria uma tarefa chamada OnedriveStartup e injeta um código no Registro do Windows para executar o arquivo Launcher.exe sempre que o sistema for iniciado.
Desativação de proteções: desliga o Windows Update e outros serviços relacionados, além de inserir o diretório do malware na lista de exceções do Windows Defender.
Escalada de privilégios: caso não tenha privilégios administrativos, o malware simula o processo ComputerDefaults.exe e utiliza uma biblioteca MLANG.dll maliciosa para conseguir permissões elevadas.
Instalação do minerador: com as defesas desativadas, o script se conecta ao servidor myaunet[.]su, decodifica um executável em base64 e instala o XMRig, que começa a minerar Monero em segundo plano.

Indícios de ataque ampliado

Durante a análise do domínio dos invasores, foi encontrado um diretório npm/, sugerindo que a mesma campanha pode estar se espalhando por meio de pacotes no NPM — outro ecossistema de desenvolvimento amplamente utilizado. No entanto, até o momento, os arquivos maliciosos não foram encontrados publicamente nessa plataforma.

O que fazer se você foi afetado

Se você instalou alguma das nove extensões listadas, é essencial agir rapidamente:

Remova imediatamente a extensão suspeita do VSCode.
Verifique por tarefas agendadas com o nome OnedriveStartup.
Revise o Registro do Windows e elimine entradas ligadas ao Launcher.exe.
Apague pastas e arquivos desconhecidos em diretórios relacionados ao VSCode.

Conclusão

A Microsoft ainda não removeu as extensões do Marketplace, mas já foi notificada. Esse caso serve de alerta para desenvolvedores e profissionais de TI: mesmo plataformas oficiais não estão isentas de riscos. Avaliar a procedência e revisar o comportamento de extensões antes de instalá-las é essencial para garantir a segurança do ambiente de desenvolvimento.

Jardeson Márcio

Mais Notícias

Mais artigos

Ciberataques sofisticados

Hackers norte-coreanos usam falsas consultorias para espalhar vírus via entrevistas de emprego

Grupos de cibercriminosos ligados ao regime da Coreia do Norte estão inovando suas táticas ao usar empresas fictícias no setor de criptomoedas para disseminar malware durante falsas entrevistas de emprego. A prática, parte da campanha batizada de Entrevista Contagiosa, visa principalmente profissionais da área de tecnologia. Golpe digital: hackers norte-coreanos espalham malware com falsas vagas […]

Segurança digital

Spyware disfarçado de Alpine Quest infecta Androids de militares russos

Especialistas em segurança digital identificaram uma sofisticada operação de espionagem cibernética que tem como alvo militares russos por meio de um spyware disfarçado como o aplicativo de mapeamento Alpine Quest. A campanha, que modifica versões antigas do app legítimo, explora a popularidade da ferramenta entre os usuários que atuam em zonas de conflito, especialmente na […]

Ataque cibernético

Grupo chinês ataca governo russo com nova versão do malware MysterySnail

Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.

Vulnerabilidades críticas em switches Moxa permitem acesso não autorizado

Ameaça persistente

Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader

Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.

Ameaça digital

Hackers exploram Node.js para roubar dados de investidores em criptomoedas

Cibercriminosos usam Node.js em ataques de malvertising contra usuários de criptomoedas, com scripts maliciosos que burlam a segurança e coletam dados sigilosos.

Ameaça cibernética

Ataques avançados usam engenharia social para instalar malware com tática ClickFix

Grupos de hackers ligados a governos da Coreia do Norte, Irã e Rússia adotam o ClickFix, uma técnica de engenharia social, para comprometer alvos estratégicos com malware.