Wintech - A sua fonte diária de informação tecnológica - Extensões falsas no VS Code roubam criptomoedas a programadores

: Por João Fernandes; Jul. 28, 2025

A equipa de investigação da Kaspersky (GReAT) identificou recentemente um conjunto de extensões maliciosas disfarçadas de pacotes legítimos de código aberto, com o objetivo de infetar programadores através da plataforma Cursor, baseada no Visual Studio Code. Estas extensões, disponíveis no repositório Open VSX, afirmavam oferecer suporte à linguagem Solidity, mas na realidade descarregavam código malicioso que permitia o controlo remoto dos sistemas infetados e o roubo de ativos digitais.

O caso foi exposto após um programador de blockchain na Rússia, vítima direta do ataque, ter contactado a Kaspersky. Ao instalar uma extensão falsa, o utilizador permitiu que atacantes se infiltrassem no seu sistema, acabando por perder aproximadamente 500 mil dólares em criptomoedas. Este acesso foi obtido através da instalação do ScreenConnect, um software de controlo remoto, que abriu caminho para a instalação da backdoor de código aberto Quasar, bem como um stealer especializado em extrair dados sensíveis como frases-semente, credenciais e informações de carteiras digitais.

O atacante utilizou técnicas de manipulação para tornar a extensão maliciosa mais atrativa do que a versão legítima, inflacionando artificialmente a sua popularidade para atingir os 54 mil downloads iniciais. Após a remoção da extensão do repositório, o criminoso voltou a publicá-la e conseguiu elevar esse número para 2 milhões, muito acima dos cerca de 61 mil da versão legítima. A Kaspersky alertou as autoridades competentes e colaborou para a remoção definitiva da ameaça.

Segundo Georgy Kucherin, investigador da Kaspersky, este tipo de ataques representa uma nova geração de ameaças dirigidas especificamente a developers, mesmo os mais experientes. A sofisticação das técnicas utilizadas torna difícil distinguir pacotes maliciosos de legítimos apenas com uma análise superficial. Por isso, é cada vez mais essencial implementar soluções de segurança dedicadas, mesmo em ambientes técnicos e especializados.

Para além das extensões disfarçadas de suporte a Solidity, o atacante foi responsável pela publicação de um pacote NPM malicioso com o nome solsafe, que replicava o mesmo comportamento: descarregava o ScreenConnect para acesso remoto não autorizado. A investigação revelou ainda três outras extensões maliciosas no Visual Studio Code – solaibot, among-eth e blankebesxstnion – todas entretanto removidas da plataforma.

O relatório completo com os detalhes técnicos sobre esta campanha está disponível no portal Securelist.com, operado pela Kaspersky. Esta descoberta reforça a necessidade de maior vigilância no ecossistema open-source e o papel crucial das ferramentas de análise de ameaças no combate a este tipo de cibercrime.

Classifique este item

(0 votos)