Ir ao conteúdo

Vulnerabilidade grave no Visual Studio Code permite spoofing de verificação de extensões.

Publicado por Raphael Giusti em 1 de julho de 2025

Um relatório recente da OX Security revelou uma falha crítica no processo de verificação de extensões no Visual Studio Code (além de IDEs como IntelliJ e Cursor) . A falha permite que extensões maliciosas se apresentem como “verificadas” mesmo contendo código perigoso, executável dentro da máquina do desenvolvedor.

Como funciona o ataque

  • O VS Code envia um POST ao marketplace para verificar a autenticidade da extensão.
  • Um invasor pode replicar os tokens usados em extensões legítimas (por exemplo, da Microsoft), enganando o sistema e mantendo o símbolo de verificação ativo.
  • Mesmo com extension sideloading, esse “spoofing” permite que scripts maliciosos sejam executados — foi demonstrada uma prova de conceito capaz de abrir o aplicativo Calculadora no Windows.

Riscos

  • Executa código malicioso com privilégios do usuário.
  • Atinge todos que instalam extensões via VSIX, e não diretamente pelo marketplace.
  • Credenciais, código-fonte e recursos da empresa ficam vulneráveis.

Resposta do Microsoft

A Microsoft confirmou que, por design, o marketplace rejeitará pacotes VSIX spoofados, mas o bug ainda era explorável até 29 de junho de 2025.

Recomendações

  1. Instale extensões somente via Visual Studio Marketplace.
  2. Evite extensões side-loaded com arquivos VSIX baixados de terceiros.
  3. Acompanhe atualizações do VS Code e dos plugins para garantir que patches estejam aplicados.

As descobertas mostram mais uma vez que confiar apenas no símbolo verificado das extensões pode ser arriscado, pois os invasores podem induzir os desenvolvedores a executar códigos maliciosos sem o seu conhecimento. Para mitigar esses riscos, é recomendável instalar extensões diretamente de marketplaces oficiais, em vez de usar arquivos de extensão VSIX compartilhados online.

“A capacidade de injetar código malicioso em extensões, compactá-las como arquivos VSIX/ZIP e instalá-las, mantendo os símbolos verificados em várias plataformas de desenvolvimento importantes, representa um sério risco”, disseram os pesquisadores. “Essa vulnerabilidade afeta particularmente os desenvolvedores que instalam extensões de recursos online, como o GitHub.”

Fontes: The Hackernews

Raphael Giusti

Publicado emBlogCibersegurançaProgramação

Seja o primeiro a comentar

Deixe um comentário