Uma investigação recente da Hunt.io revelou uma campanha preocupante direcionada a desenvolvedores de software por meio de extensões maliciosas do Visual Studio Code (VS Code). Entre os casos analisados, destaca-se uma extensão que se disfarça da popular ferramenta Zoom Workspace, com o objetivo de roubar cookies do Google Chrome e outros dados sensíveis. A extensão maliciosa foi carregada no VS Code Marketplace em 30 de novembro, apresentando-se inicialmente como legítima, com links para o repositório oficial do GitHub do SDK de reuniões do Zoom.

No entanto, uma análise aprofundada revelou sua verdadeira intenção. A partir da versão 0.2.2, o código malicioso foi introduzido, permitindo a captura de cookies do Chrome. Isso sugere que os atacantes adotaram uma abordagem gradual para evitar a detecção nos estágios iniciais. Para conquistar a confiança dos usuários, os responsáveis pela extensão postaram uma avaliação positiva no dia de seu lançamento, possivelmente utilizando uma conta falsa para criar a aparência de legitimidade.

A abordagem escalonada de implantação do código malicioso, combinada com técnicas de ofuscação e coleta assíncrona de dados, demonstra um alto nível de sofisticação por parte dos atacantes. Esse caso destaca a crescente ameaça representada por extensões comprometidas que visam ambientes de desenvolvimento integrados (IDEs). O incidente serve como um alerta para desenvolvedores que confiam em extensões para aprimorar suas IDEs. Comprometer um ambiente de desenvolvimento pode abrir caminho para ataques mais amplos em todo o ciclo de desenvolvimento de software de uma organização.