Extensão maliciosa do VSCode expôs repositórios da GitHub

A GitHub confirmou que cerca de 3.800 repositórios internos foram acessados indevidamente após um funcionário instalar uma extensão maliciosa do Visual Studio Code (VSCode). A empresa removeu a extensão, cujo nome não foi divulgado, da loja oficial do editor e isolou o dispositivo comprometido.

“Ontem detectamos e contivemos um comprometimento de um dispositivo de funcionário envolvendo uma extensão envenenada do VSCode. Removemos a versão maliciosa, isolamos o endpoint e iniciamos a resposta ao incidente imediatamente”, afirmou a empresa. “Nossa avaliação atual é que a atividade envolveu apenas exfiltração de repositórios internos da GitHub.”

Grupo criminoso alega ter acesso aos dados

O grupo de hackers TeamPCP reivindicou na terça-feira, em um fórum cibercriminoso, acesso ao código-fonte da GitHub e a “cerca de 4 mil repositórios de código privado”. Os criminosos pedem no mínimo US$ 50 mil pelos dados roubados, afirmando não se tratar de resgate. “Um comprador e destruímos os dados. Se não encontrarmos comprador, vazaremos de graça”, escreveram.

A TeamPCP foi ligada anteriormente a ataques à cadeia de suprimentos direcionados a plataformas de desenvolvimento como PyPI, NPM e Docker, e mais recentemente à campanha “Mini Shai-Hulud”, que também afetou dois funcionários da OpenAI. A GitHub afirmou que não há evidências de que dados de clientes armazenados fora dos repositórios afetados tenham sido comprometidos.

Extensões maliciosas são ameaça conhecida

Extensões do VSCode são plug-ins instaláveis pela loja oficial para adicionar funcionalidades ao editor. Esta não é a primeira vez que uma extensão maliciosa aparece no mercado. No ano passado, extensões com 9 milhões de instalações foram removidas por riscos de segurança, e outras dez, disfarçadas de ferramentas legítimas, infectaram usuários com um minerador de criptomoedas.

Mais recentemente, em janeiro, duas extensões anunciadas como assistentes de programação baseados em IA, com 1,5 milhão de instalações, exfiltravam dados de sistemas de desenvolvedores para servidores na China.