- Duas extensões VSCode exfiltraram dados confidenciais de usuários para servidores chineses
- ChatGPT – versão chinesa e ChatMoss tiveram mais de 1,5 milhão de instalações combinadas
- As extensões usavam iframes, comandos e SDKs ocultos para roubar arquivos e rastrear atividades
Mais de 1,5 milhão de pessoas podem ter tido seus dados confidenciais vazados para hackers chineses por meio de dois malicioso extensões encontradas no VSCode Marketplace.
Pesquisadores de segurança da Koi Security disseram que descobriram duas extensões maliciosas de navegador em Microsoftdo Visual Studio Code (VSCode) Marketplace, a loja oficial da Microsoft para complementos de editor de código.
As extensões foram anunciadas como assistentes de codificação baseados em IA. Na verdade, funcionaram conforme anunciado, fornecendo aos usuários uma maneira simples e conveniente de acessar uma ferramenta de Inteligência Artificial Generativa (GenAI) para ajudar na codificação. No entanto, as ferramentas também carregavam dados confidenciais para um servidor de terceiros na China, sem informar os usuários sobre isso.
MaliciosoCorgi
Segundo Koi, estes são os complementos em questão, que ainda estão disponíveis para download no mercado:
ChatGPT – versão chinesa (editora: WhenSunset, 1,34 milhão de instalações)
ChatMoss (CodeMoss) (editor: zhukunpeng, 150 mil instalações)
Koi diz que ambos fazem parte da campanha ‘MaliciousCorgi’ e enviavam os dados roubados para o mesmo servidor.
Para exfiltrar os dados, eles usaram três mecanismos distintos, foi dito. A primeira é por meio do monitoramento em tempo real dos arquivos abertos no cliente VS Code. Assim que a vítima abre um arquivo, seu conteúdo é codificado em Base64 e retransmitido aos servidores.
“No momento em que você abre qualquer arquivo – sem interagir com ele, apenas abri-lo – a extensão lê todo o seu conteúdo, codifica-o como Base64 e envia-o para um webview contendo um iframe de rastreamento oculto. Não 20 linhas.
O segundo mecanismo é um comando controlado pelo servidor que envia furtivamente até 50 arquivos do espaço de trabalho da vítima, enquanto o terceiro é um iframe de pixel zero no webview da extensão onde os SDKs de análise comercial são carregados. Esses SDKs rastreiam o comportamento do usuário, criam perfis de identidade e monitoram outras atividades.
Microsoft disse BipandoComputador estava investigando a situação, mas os complementos ainda estão disponíveis para download.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.