O Visual Studio Code é hoje o editor de código mais usado do mundo, com mais de 73 milhões de utilizadores ativos. Mas a sua maior vantagem acabou também por se tornar numa vulnerabilidade: existem mais de 60 mil extensões criadas por outros utilizadores, muitas delas com verificações de segurança limitadas.
Foi precisamente por aí que entrou o grupo de hackers TeamPCP. Segundo a empresa de cibersegurança Socket, os hackers comprometeram uma extensão popular do VS Code e usaram-na para infetar o computador de um programador do GitHub. Com as credenciais roubadas, conseguiram aceder à infraestrutura interna da plataforma e copiar cerca de 3.800 repositórios privados.
O GitHub já confirmou o incidente, garantindo que os repositórios afetados pertencem apenas à própria empresa e não a clientes. Ainda assim, o TeamPCP afirma ter mais de 4.000 repositórios na sua posse e já colocou o material à venda no fórum BreachForums. A mensagem deixada pelo grupo foi direta: “Estamos aqui para vender o código-fonte e as organizações internas do GitHub.”
O método que já afetou meio milhar de ferramentas
Este ataque ao GitHub está longe de ser um caso isolado. Segundo a empresa de cibersegurança Socket, o grupo TeamPCP já lançou cerca de 20 vagas de ataques e comprometeu mais de 500 ferramentas e pacotes de desenvolvimento nos últimos meses.
O método é quase sempre o mesmo: os hackers comprometem uma extensão popular ou uma biblioteca bastante usada e esperam que os programadores a instalem ou atualizem. A partir daí, o malware executa-se silenciosamente, rouba credenciais de cloud, tokens de autenticação e chaves de API, enviando toda a informação para servidores controlados pelos hackers.
Mais recentemente, o grupo terá automatizado grande parte do processo através de um componente chamado Mini Shai-Hulud, capaz de se propagar sozinho entre sistemas comprometidos. O malware chega até a criar repositórios no GitHub para armazenar credenciais roubadas de forma encriptada, usando referências inspiradas no universo de Dune.
Entre os alvos afetados por campanhas anteriores do TeamPCP estão organizações como a OpenAI, a Mistral AI e até o site público da Comissão Europeia. O padrão começa a tornar-se evidente: a inteligência artificial está a tornar este tipo de ataques muito mais rápidos, baratos e difíceis de detetar.
Não é a primeira extensão apanhada a fazer isto
O GitHub está longe de ser o único alvo deste tipo de ataques. Em janeiro deste ano, foram descobertas 17 extensões maliciosas para browsers populares que espiavam utilizadores em segundo plano, somando mais de 840 mil instalações ativas. Já em novembro do ano passado, a Google lançou uma atualização de emergência para o Chrome depois de uma falha zero-day começar a ser explorada em ataques reais.
O problema é cada vez maior porque as ferramentas usadas diariamente por programadores se tornaram um dos pontos de entrada favoritos dos hackers. Extensões, bibliotecas e pacotes são frequentemente instalados com base na confiança da comunidade, o que cria um ambiente perfeito para ataques silenciosos e difíceis de detetar.
O que podes fazer se usas o VS Code
Perante este tipo de ataques, os especialistas em cibersegurança deixam recomendações bastante claras. Nathaniel Quist, da Palo Alto Networks, defende que as empresas devem reduzir ao máximo o tempo de vida das credenciais, limitar permissões de acesso e rodar chaves de segurança de forma agressiva.
Para quem usa o Visual Studio Code diariamente, há também alguns passos simples que podem fazer diferença. Vale a pena rever regularmente as extensões instaladas e remover tudo aquilo que já não utilizas ou que não reconheces. Antes de instalar novas extensões, convém verificar o número de instalações, avaliações e reputação do programador.
Outra recomendação importante passa por ativar a autenticação de dois fatores em todas as contas de desenvolvimento. E se tens credenciais de cloud ou chaves de API guardadas no editor, o mais seguro é assumir que podem ter sido comprometidas e substituí-las imediatamente.
Quanto ao material roubado do GitHub, o grupo TeamPCP afirma que, caso não encontre comprador, irá divulgar gratuitamente todo o código obtido no ataque.
