Visual Studio Code sob Ataque: Extensões Maliciosas e o Trojan Oculto em Imagens PNG

Inteligência Artificial Roberto Zago Sartori 16/12/2025 0 Comentários

Nos últimos meses, desenvolvedores de todo o mundo enfrentam uma ameaça crescente no Visual Studio Code (VS Code): extensões maliciosas escondendo trojans sofisticados em arquivos aparentemente inofensivos, como imagens PNG. Segundo uma pesquisa da ReversingLabs, desde fevereiro de 2025, 19 extensões maliciosas foram identificadas no Marketplace do VS Code, afetando usuários que confiam na plataforma para desenvolvimento seguro e eficiente.

O VS Code é utilizado por milhões de desenvolvedores globalmente. Essa popularidade faz com que a ferramenta seja um alvo estratégico para cibercriminosos, que exploram a confiança do usuário ao instalar extensões, entregando códigos maliciosos disfarçados de complementos legítimos.

Como os trojans estão se infiltrando

As extensões comprometidas exploram dependências legítimas, como o pacote path-is-absolute, utilizado por bilhões de desenvolvedores e com mais de 9 bilhões de downloads desde 2021. Ao invés de criar códigos maliciosos novos, os hackers modificam essas dependências, permitindo que os trojans sejam acionados automaticamente assim que o VS Code é aberto.

O arquivo malicioso, denominado banner.jpg, se apresenta como uma imagem padrão. Ao abri-lo, o usuário recebe um erro típico de visualizador de imagens, mas, na realidade, o arquivo contém dois binários maliciosos. O dropper utiliza o comando cmstp.exe, nativo do Windows, para executar os trojans, sem levantar suspeitas.

Métodos alternativos de ataque

Algumas extensões utilizam outra dependência confiável, a @actions/io, distribuindo os binários entre arquivos .ts e .map, sem envolver imagens PNG. Essa técnica torna a detecção ainda mais difícil, pois não há sinais visuais de ameaça, e a extensão aparenta funcionar normalmente.

Tabela 1: Principais dependências exploradas e modo de ataque

Dependência	Tipo de ataque	Arquivo malicioso	Observações
path-is-absolute	Dropper JS decodifica binários	banner.jpg	Trojans disfarçados como imagens PNG
@actions/io	Binários separados	.ts e .map	Sem arquivos de mídia

Impacto para desenvolvedores

Os trojans escondidos podem realizar uma série de ações maliciosas, incluindo:

Roubo de credenciais e dados sensíveis do sistema;
Execução de comandos remotos;
Instalação silenciosa de softwares adicionais;
Acesso persistente, permitindo controle contínuo sobre o sistema infectado.

Esses ataques podem afetar projetos pessoais e corporativos, resultando em perdas financeiras e vazamentos de informações críticas.

Sinais de alerta

Para identificar extensões maliciosas, os desenvolvedores devem ficar atentos a:

Dependências alteradas ou suspeitas;
Arquivos de mídia que geram erros ao abrir;
Execução automática de scripts sem permissão;
Extensões recém-lançadas com poucos downloads ou avaliações;
Pacotes sem histórico de atualizações confiáveis.

Mapa Mental: Cadeia de Infecção de Extensões Maliciosas

[Instalação da extensão suspeita]
            |
[Pasta de dependências comprometida]
            |
[Execução automática do dropper]
            |
[Decodificação dos binários]
            |
[Execução via cmstp.exe ou arquivos .ts/.map]
            |
[Infecção do sistema]
            |
[Possível roubo de dados e controle remoto]

Casos reais e recentes

Um exemplo notório envolveu uma versão falsa da extensão Prettier, distribuindo o malware Anivia Stealer. A extensão parecia legítima, mas executava automaticamente os binários maliciosos, comprometendo a segurança do usuário.

Esse tipo de ataque mostra que mesmo pacotes populares podem ser comprometidos, tornando a vigilância constante uma prática essencial para qualquer desenvolvedor.

Estratégias de prevenção avançadas

Além das medidas básicas, recomenda-se:

Auditar dependências periodicamente, conferindo integridade e origem dos pacotes;
Isolar ambientes de desenvolvimento usando contêineres ou máquinas virtuais para testar extensões antes da instalação;
Monitorar logs de execução para identificar comportamentos suspeitos;
Utilizar ferramentas de análise de malware voltadas para desenvolvedores;
Educação contínua sobre novas técnicas de ataque.

Tabela 2: Checklist de segurança avançada para VS Code

Ação preventiva	Benefício
Auditoria de dependências	Detecta alterações suspeitas
Ambientes isolados	Evita infecção do sistema principal
Monitoramento de logs	Identifica scripts maliciosos
Ferramentas antimalware	Detecta e bloqueia trojans
Educação e atualização constante	Mantém desenvolvedores informados sobre ameaças

Boas práticas ao instalar extensões

Sempre verifique a reputação da extensão e do desenvolvedor;
Prefira pacotes com histórico de atualização consistente;
Evite instalar extensões de origem desconhecida;
Utilize controle de versão para monitorar alterações inesperadas;
Mantenha backup dos projetos, garantindo recuperação em caso de ataque.

Conclusão e alerta

A descoberta dessas extensões maliciosas no VS Code reforça que o ambiente de desenvolvimento moderno não está imune a ciberataques. Hackers utilizam técnicas engenhosas para explorar a confiança do usuário em pacotes populares, tornando a detecção mais complexa.

Para proteger dados pessoais, corporativos e projetos de desenvolvimento, é fundamental:

Realizar inspeção detalhada de extensões;
Monitorar comportamento do sistema;
Manter ferramentas de segurança atualizadas;
Adotar práticas de educação digital e auditoria constante.

A prevenção é sempre mais eficiente do que a correção após a infecção, e desenvolvedores bem informados são a primeira linha de defesa contra ameaças sofisticadas como os trojans ocultos em imagens PNG.

Share this content: