Duas extensões maliciosas disponíveis no marketplace oficial do Visual Studio Code foram descobertas espionando desenvolvedores e enviando dados sensíveis para servidores na China. As extensões, disfarçadas como assistentes de inteligência artificial, somavam mais de 1,5 milhão de instalações antes de serem identificadas. A investigação foi conduzida pela empresa de segurança Koi, que batizou a campanha de MaliciousCorgi. As extensões envolvidas, nomeadas como ChatGPT e ChatMoss CodeMoss, ofereciam funcionalidades legítimas de suporte à programação com IA, mas ocultavam mecanismos sofisticados de coleta de dados.
Entre as ações maliciosas estavam o monitoramento de arquivos abertos no editor, a codificação do conteúdo em Base64 e o envio automático para servidores remotos, sem o conhecimento do usuário. Além disso, as extensões eram capazes de coletar até 50 arquivos por vez diretamente do ambiente de trabalho, aumentando o potencial de vazamento de informações críticas. Outro vetor de rastreamento incluía a inserção de um iframe invisível que carregava SDKs de plataformas analíticas, permitindo a criação de perfis detalhados dos desenvolvedores afetados. Esse mecanismo complementava a coleta de arquivos, tornando o monitoramento ainda mais invasivo.
Os dados coletados incluíam códigos-fonte privados, arquivos de configuração, variáveis de ambiente com chaves de API, senhas e informações relacionadas a serviços em nuvem. Esses elementos são altamente sensíveis e podem comprometer a segurança de aplicações inteiras, principalmente em ambientes corporativos. Apesar da gravidade, as extensões ainda estavam disponíveis no marketplace do VSCode no momento da publicação do relatório. A Microsoft afirmou que está analisando o caso e que medidas corretivas serão tomadas conforme suas políticas internas. O caso levanta preocupações sérias sobre a validação de extensões em plataformas populares de desenvolvimento e destaca os riscos crescentes relacionados ao uso de ferramentas de IA que não passam por auditorias de segurança.
