Hackers chineses foram flagrados explorando túneis do Visual Studio Code (VSCode) para estabelecer backdoors persistentes em sistemas de grandes provedores de TI no sul da Europa. Essa abordagem, nomeada de Operação Digital Eye, foi detectada entre junho e julho de 2024, de acordo com pesquisadores da SentinelLabs e Tinexta Cyber.
Os túneis VSCode são parte do recurso de Desenvolvimento Remoto da Microsoft, que permite acesso seguro a dispositivos remotos por meio do Visual Studio Code. No entanto, ao configurá-los com executáveis assinados e infraestrutura do Azure, invasores conseguiram operar sem levantar suspeitas de ferramentas de segurança, demonstrando uma rara manipulação de sistemas legítimos da Microsoft.
Como os hackers operaram
Para obter acesso inicial, os invasores usaram a ferramenta sqlmap para explorar vulnerabilidades de SQL em servidores conectados à internet. Após comprometerem os sistemas, instalaram um webshell PHP chamado PHPsert para executar comandos remotamente e introduzir cargas adicionais.
O movimento lateral envolveu técnicas como ataques RDP e pass-the-hash, usando uma versão customizada do Mimikatz. Em dispositivos comprometidos, os hackers implantaram uma versão portátil e legítima do Visual Studio Code e configuraram o aplicativo como um serviço persistente do Windows por meio da ferramenta winsw.
Com o túnel VSCode ativado, os invasores acessavam os sistemas remotamente via navegador, autenticando-se com contas Microsoft ou GitHub. Como todo o tráfego era roteado pelo Azure e executáveis assinados eram utilizados, essa técnica passava despercebida por sistemas de monitoramento.
Notícias Relacionadas
Falha exposta
Vulnerabilidades expostas em DeepSeek e Claude AI podem facilitar ataques cibernéticos
Pesquisadores identificaram falhas no DeepSeek e Claude AI que permitem ataques via injeção rápida. Explorações incluem roubo de dados, controle de contas e execução de comandos maliciosos.
Ameaça digital
Como códigos QR ignoram o isolamento do navegador
Hackers utilizam códigos QR para contornar o isolamento do navegador e executar comunicações maliciosas C2, explorando vulnerabilidades e destacando a necessidade de estratégias de defesa robustas.
Campanhas anteriores e recomendações
Embora o abuso de túneis VSCode seja raro, casos semelhantes foram documentados. Em setembro de 2024, o grupo Stately Taurus, vinculado a espionagem chinesa, utilizou a mesma ferramenta em ataques contra organizações governamentais do Sudeste Asiático. Apesar disso, as campanhas não apresentam evidências de conexão direta.
Para proteger-se, os especialistas recomendam:
- Monitorar lançamentos suspeitos do VSCode.
- Limitar túneis remotos apenas para pessoal autorizado.
- Utilizar listas de permissões para bloquear executáveis portáteis, como code.exe.
- Inspecionar serviços do Windows que utilizem code.exe e analisar logs de rede para conexões com domínios *.devtunnels.ms.
Com a técnica se tornando mais conhecida, medidas preventivas são fundamentais para evitar que atacantes aproveitem essa brecha para operações avançadas e furtivas.
