Pesquisadores da ReversingLabs identificaram uma vulnerabilidade no Visual Studio Code Marketplace que permite que extensões deletadas sejam republicadas com o mesmo nome, desde que por um editor diferente. A falha expõe um novo vetor de risco para ataques à cadeia de suprimentos de software. A descoberta ocorreu durante a análise de uma extensão maliciosa chamada “ahbanC.shiba”, que se comportava de forma idêntica a duas outras já removidas do repositório oficial.
Todas funcionavam como downloaders de scripts PowerShell que criptografavam arquivos no desktop da vítima e exigiam pagamento em criptomoeda Shiba Inu. A Microsoft exige que cada extensão tenha um identificador único baseado em editor e nome do pacote. No entanto, os pesquisadores descobriram que, após a exclusão definitiva de uma extensão, seu nome volta a estar disponível para outros usuários permitindo o reuso de nomes conhecidos para distribuir malware. Essa brecha permite que agentes maliciosos publiquem novas extensões com nomes previamente usados por pacotes legítimos, o que pode enganar usuários desatentos, principalmente em ambientes corporativos e de desenvolvimento ágil.
A falha evidencia a necessidade de vigilância contínua sobre ambientes de desenvolvimento e plataformas de distribuição de software, especialmente diante da crescente sofisticação de ataques à cadeia de suprimentos digital. A reutilização de nomes populares pode ser explorada para injetar ransomwares, infostealers e outras cargas maliciosas sem levantar suspeitas. A facilidade de publicação em marketplaces públicos amplia ainda mais esse risco. Especialistas recomendam práticas como validação manual de extensões, uso de ambientes isolados para testes e auditoria contínua de dependências externas em projetos sensíveis.
