Pesquisadores em segurança da informação descobriram duas extensões maliciosas para o Microsoft Visual Studio Code (VS Code) que prometem assistência de programação via inteligência artificial (IA), mas na verdade captam e enviam código-fonte sem consentimento.
Embora pareçam úteis e funcionem corretamente como assistentes de codificação, essas extensões escondem código malicioso que monitora e transmite dados sigilosos para servidores remotos. Isso representa um risco sério para desenvolvedores individuais e organizações.
- Leia Também: A estrutura de malware voidlink para linux, construída com auxílio de IA, atinge 88.000 linhas de código.
- Leia Também: Falhas na estrutura de IA chainlit permitem roubo de dados por meio de bugs de leitura de arquivos e SSRF.
- Leia Também: Plataformas de avaliação de exposição sinalizam uma mudança de foco
O que aconteceu?
Pesquisadores da Koi Security identificaram duas extensões no Visual Studio Marketplace, ambas com capacidades de IA para auxiliar desenvolvedores durante a codificação. Contudo, por trás dessa promessa de produtividade, há um grave problema de segurança.
As extensões detectadas são:
- ChatGPT – 中文版 (ID: whensunset.chatgpt-china) — cerca de 1,34 milhão de instalações
- ChatGPT – ChatMoss (CodeMoss) (ID: zhukunpeng.chat-moss) — cerca de 151 mil instalações
Somadas, elas foram instaladas 1,5 milhão de vezes — e ainda estavam disponíveis para download quando a pesquisa foi divulgada.
Como elas agem?
Em vez de simplesmente fornecer funções de IA, as extensões também:
- Monitoram cada arquivo aberto e cada alteração de código feita pelo usuário.
- Codificam os dados na Base64 e os enviam a um servidor remoto na China sem aviso ou autorização.
- Permitem que o servidor controle remotamente a extensão para capturar até 50 arquivos de uma só vez.
- Carregam módulos ocultos que coletam informações detalhadas do sistema do desenvolvedor.
Essas ações acontecem em segundo plano, sem que a maioria dos desenvolvedores perceba. Por isso, mesmo funcionando como esperado, a ameaça é especialmente perigosa — ela se esconde atrás de funcionalidades legítimas para evitar detecção.
Quais são os impactos?
Os riscos dessa ameaça incluem:
- Exfiltração de código-fonte e propriedade intelectual, o que pode comprometer projetos e produtos inteiros.
- Possíveis ataques à cadeia de suprimentos de software, uma vez que código confiável pode ser interceptado e explorado.
- Perda de confiança em ferramentas de extensão automatizadas usadas por milhões de desenvolvedores no mundo inteiro.
O que fazer agora?
Para reduzir os riscos associados a extensões de código:
- Revise regularmente todas as extensões instaladas no seu VS Code e avalie a procedência delas.
- Remova extensões desnecessárias ou com baixa reputação no Marketplace.
- Monitore tráfego de rede estranho ou conexões inesperadas do seu ambiente de desenvolvimento.
- Prefira ferramentas e plugins de fontes confiáveis e bem avaliadas pela comunidade.
Essas práticas ajudam a proteger seu código e impedir que ferramentas de desenvolvimento se tornam vetores de ataques.
