Um grupo de pesquisadores israelenses explorou a segurança do Visual Studio Code Marketplace e descobriu extensões maliciosas que infectaram mais de 100 organizações. Utilizando uma cópia trojanizada do popular tema ‘Dracula Official’, que inclui código arriscado, eles conseguiram demonstrar falhas significativas no sistema de segurança do marketplace de extensões da Microsoft. O VSCode é um editor de código fonte publicado pela Microsoft e amplamente utilizado por desenvolvedores de software em todo o mundo.

O marketplace oferece uma vasta gama de extensões que ampliam a funcionalidade do editor, proporcionando opções adicionais de personalização e utilidades. Relatórios anteriores já haviam apontado falhas na segurança do VSCode, como a possibilidade de falsificação de extensões e roubo de tokens de autenticação de desenvolvedores.

No entanto, a recente pesquisa, revelou a extensão desses problemas ao criar uma extensão falsa, chamada ‘Darcula’, que se passava pelo legítimo tema ‘Dracula Official’. Essa extensão falsificada incluía um script que coletava informações do sistema e as enviava para um servidor remoto.

Para se tornarem publishers verificados no VSCode Marketplace, os pesquisadores registraram o domínio ‘darculatheme.com’. A extensão maliciosa foi projetada para evitar detecção por ferramentas de segurança tradicionais, uma vez que o VSCode é geralmente tratado com mais leniência devido à sua natureza como um sistema de desenvolvimento e teste. Como resultado, a extensão foi instalada por várias organizações de alto valor, incluindo uma empresa pública com um valor de mercado de 483 bilhões de dólares e grandes empresas de segurança.