Mais de 100 extensões do Visual Studio Code (VS Code) foram encontradas com tokens de acesso expostos, o que poderia permitir que criminosos distribuíssem atualizações maliciosas diretamente para milhares de usuários. A falha foi descoberta pela empresa de segurança Wiz, que analisou mais de 500 extensões disponíveis publicamente.
Os pesquisadores identificaram 550 segredos válidos embutidos nos arquivos das extensões, incluindo chaves de acesso a serviços de nuvem, bancos de dados e APIs de provedores de IA como OpenAI, Gemini, Anthropic e Hugging Face. Esses dados poderiam ser explorados para inserir código malicioso, roubar dados sensíveis ou comprometer projetos de software. Segundo o relatório, mais de 100 extensões vazaram tokens do VS Code Marketplace, expondo cerca de 85 mil instalações, enquanto outras 30 extensões publicadas no Open VSX afetaram mais de 100 mil usuários. Em alguns casos, os tokens poderiam ser usados para atualizar automaticamente extensões já instaladas, disseminando malware em larga escala.
A Microsoft revogou todos os tokens comprometidos após o alerta e anunciou a inclusão de um sistema automático de detecção de segredos no Marketplace, capaz de bloquear extensões com credenciais embutidas e alertar desenvolvedores sobre falhas de segurança. O estudo destaca que a exposição é agravada pela popularidade crescente de extensões baseadas em IA, especialmente em forks do VS Code, como Cursor e Windsurf, que ampliam a superfície de ataque. Em um dos casos mais graves, uma chave comprometida poderia ter permitido o envio de malware para funcionários de uma corporação chinesa avaliada em US$ 30 bilhões.
