Pesquisadores de segurança cibernética identificaram duas extensões maliciosas na Visual Studio Code (VSCode) Marketplace projetadas para implantar ransomware em desenvolvimento. As extensões, chamadas “ahban.shiba” e “ahban.cychelloworld”, foram removidas pelos administradores da plataforma. Segundo a ReversingLabs, ambas as extensões continham código capaz de acionar um comando PowerShell que baixava e executava um payload a partir de um servidor de comando e controle (C2). 

Esse código malicioso era uma versão inicial de ransomware, que criptografava apenas arquivos dentro de uma pasta chamada “testShiba” na área de trabalho do Windows da vítima. Após a criptografia, o payload exibia uma mensagem informando: “Seus arquivos foram criptografados. Pague 1 ShibaCoin para ShibaWallet para recuperá-los.” No entanto, não eram fornecidas mais instruções ou endereços de carteira de criptomoedas, sugerindo que a ameaça ainda estava em desenvolvimento.

Este incidente acontece poucos meses após a descoberta de outras extensões maliciosas no VSCode Marketplace, incluindo algumas que se passavam pelo Zoom e baixavam cargas úteis desconhecidas de servidores remotos. Além disso, a empresa Socket revelou na semana passada um pacote malicioso Maven que se disfarçava como a biblioteca OAuth scribejava-core. Esse código oculto era programado para roubar credenciais OAuth todo dia 15 de cada mês, dificultando sua detecção.

O pacote, publicado no Maven Central em 25 de janeiro de 2024, ainda está disponível para download. Os criminosos usaram typosquatting (criação de nomes similares a pacotes legítimos) para enganar desenvolvedores e disseminar a ameaça. Seis pacotes dependentes também seguem essa estratégia, compartilhando um identificador de grupo falso (io.github.leetcrunch) no lugar do namespace verdadeiro (com.github.scribejava), tornando a ameaça ainda mais convincente.