Extensões falsas do VSCode roubam criptomoedas e senhas de programadores

Extensões falsas do VSCode roubam criptomoedas e senhas de programadores – Canaltech

O grupo hacker WhiteCobra está atacando desenvolvedores através de extensões falsas criadas para editores de código como VSCode, Cursor e Windsurf. Os programas maliciosos roubam credenciais de acesso e até carteiras de criptomoeda, substituindo as extensões toda vez que as antigas são detectadas e removidas.

A descoberta partiu de Zak Cole, programador do Ethereum, que relatou o roubo de sua carteira após instalar uma extensão que parecia legítima. Ela incluía ícone profissional, descrição detalhada e mais de 54.000 downloads — número que foi inflado artificialmente pelos golpistas.

Extensões falsas e cuidados

O ataque foi estudado por pesquisadores da Koi Security, que identificou os hackers da WhiteCobra. O grupo foi responsável por roubar US$ 500 mil (R$ 2,6 milhões) em criptomoedas no último mês de julho, usando métodos parecidos. A campanha do momento inclui ao menos 24 extensões falsas disponibilizadas no Visual Studio Marketplace e Open VSX, plataforma oficial do Cursor.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

O popular editor de códigos Visual Studio Code está entre os aplicativos atacados pelos hackers através das extensões (Imagem: VSCode/Divulgação)

As plataformas possuem compatibilidade VSIX entre si e uma verificação das extensões submetidas insuficiente, segundo a Koi Security, virando um terreno fértil para golpes. Confira as extensões falsas identificadas pela firma de segurança:

VS Code Marketplace: awswhh da JuanFBlanco, etherfoundrys da ETHFoundry, givingblankies da EllisonBrett, wgbk da MarcusLockwood, blan-co da VitalikButerin-EthFoundation, SnowShoNo da ShowSnowcrypto, SnowShsoNo da Crypto-Extensions e rojo-roblox-vscode da Rojo;
Open-VSX (Cursor/Windsurf): ChainDevTools.solidity-pro, kilo-code da kilocode-ai, hardhat-solidity da nomic-fdn, oxc da oxc-vscode, solidity da juan-blanco, solidity-ethereum-vsc da kineticsquid, solidityethereum da ETHFoundry, solidity-ai-ethereum da JuanFBlanco, solidity-ethereum da Ethereum, vscode-solidity da juan-blanco, solidity-hardhat da nomic-fdn, solidity da Crypto-Extension e mais.

Após a extensão ser baixada, o arquivo principal (extension.js) aparenta normalidade, com um código-fonte tão inofensivo quanto qualquer outra extensão. Um chamado sutil, no entanto, joga a execução para outro script (prompt.js) que baixa o payload malicioso do Cloudflare Pages. O malware se adapta ao sistema operacional do usuário, com versões para Windows, macOS ARM e macOS Intel.

No Windows, o script é um PowerShell que funciona com um script Python, baixando um malware LummaStealer. No macOS, o vírus é um Mach-O binário de uma família de malwares ainda desconhecida. Segundo a Koi Security, o WhiteCobra é um grupo altamente organizado, capaz de lançar campanhas hackers com ataques em menos de três horas.

Aos programadores, calha ter cuidado ao baixar extensões: verifique a autenticidade do projeto, desconfie de nomes que imitam extensões conhecidas e veja se o projeto é novo e acumulou muitos downloads e avaliações positivas em um curto período de tempo.