Uma nova campanha maliciosa está explorando o ecossistema do Visual Studio Code Marketplace ao introduzir malware em extensões populares por meio de arquivos que simulam imagens inofensivas. A técnica identificada envolve o uso de arquivos com extensão .png, mas que na verdade contêm binários maliciosos compilados, capazes de executar comandos remotos e comprometer o ambiente de desenvolvimento.
A descoberta foi feita após a análise de 19 extensões suspeitas, todas vinculadas ao mesmo ator e responsáveis por mais de 100 mil instalações. O código malicioso não está diretamente na extensão principal, mas é carregado a partir de uma dependência externa, o que dificulta a detecção e amplia o risco de ataques à cadeia de suprimentos de software. O arquivo responsável por entregar o malware se passa por uma imagem, mas contém um executável embutido no formato de script obfuscado, que é ativado após a instalação da extensão. Assim que executado, o código malicioso cria uma ponte com servidores externos, permitindo controle remoto, coleta de dados sensíveis e execução de comandos arbitrários. Segundo especialistas, a técnica de mascarar arquivos executáveis como imagens não é nova, mas está sendo aplicada de forma mais sofisticada, dificultando a detecção por ferramentas tradicionais de segurança e revisores do marketplace. A natureza modular da cadeia de dependências também contribui para a complexidade de identificar extensões comprometidas.
As extensões investigadas apresentavam nomes genéricos ou propositalmente parecidos com ferramentas legítimas, visando enganar desenvolvedores que buscam produtividade ou automação de tarefas no ambiente VS Code. Em alguns casos, os autores atualizavam as extensões com frequência para evitar remoção. A campanha mostra como o ecossistema de desenvolvimento moderno, baseado em pacotes e extensões de terceiros, pode ser explorado por atores maliciosos para inserir código perigoso em ambientes confiáveis, inclusive sem a interação direta do usuário final. Embora as extensões maliciosas já tenham sido removidas do marketplace, a campanha levanta um sinal de alerta sobre a fragilidade da cadeia de suprimentos de software e a necessidade de vigilância constante por parte das equipes de desenvolvimento e segurança.
