CiberSegurançaNews
Tendência

Mais de 100 extensões do VS Code vazam tokens de acesso e expõem usuários a ataques

Pesquisa revela falhas críticas na cadeia de suprimentos de software; tokens de acesso pessoal (PATs) podem permitir distribuição de malware em massa.

Foto de Ellen Santos Ellen Santos Mande um e-mail 3 dias atrás
0 22 1 minuto de leitura

Uma pesquisa recente revelou que editores de mais de 100 extensões do Visual Studio Code (VS Code) vazaram tokens de acesso pessoal (PATs), criando um risco crítico para a cadeia de suprimentos de software. Hackers poderiam usar esses tokens para atualizar extensões com malware, afetando diretamente milhares de usuários.

Segundo Rami McCarthy, um invasor poderia ter distribuído malware para cerca de 150 mil usuários explorando os tokens vazados do VSCode Marketplace ou do Open VSX.

A empresa de segurança Wiz identificou mais de 550 segredos em mais de 500 extensões, incluindo:

  • Tokens de provedores de IA, como OpenAI, Gemini, Anthropic, Hugging Face e outros.

  • Credenciais de serviços de nuvem, como AWS, Google Cloud, GitHub, Stripe e Auth0.

  • Segredos de bancos de dados, incluindo MongoDB, PostgreSQL e Supabase.

Mais de 100 extensões vazaram PATs do VS Code Marketplace, com 85 mil instalações acumuladas, e outras 30 extensões, com cerca de 100 mil instalações, vazaram tokens do Open VSX. Uma parcela significativa dessas extensões são temas.

Com a integração do Open VSX em versões de VS Code voltadas para inteligência artificial, como Cursor e Windsurf, extensões vulneráveis ampliam a superfície de ataque, podendo afetar também extensões internas ou corporativas usadas por grandes empresas.

Após divulgação responsável à Microsoft em março e abril de 2025, os tokens vazados foram revogados. A Microsoft anunciou recursos de varredura de segredos para bloquear extensões com credenciais expostas e notificar os desenvolvedores.

Usuários são orientados a limitar o número de extensões instaladas, analisar antes do download e avaliar o uso de atualizações automáticas. Organizações devem criar inventário de extensões e considerar listas de permissões centralizadas.

O alerta surge junto à investigação da Koi Security sobre o invasor codinome TigerJack, que publicou pelo menos 11 extensões maliciosas do VS Code desde o início de 2025. Entre elas, C++ Playground e HTTP Format tiveram mais de 17 mil downloads antes de serem removidas, mas permanecem disponíveis no Open VSX e foram republicadas no Marketplace sob novos nomes em setembro de 2025.

Segundo Tuval Admoni, pesquisador da Wiz, o invasor utilizou essas extensões para roubar código-fonte, minerar criptomoedas e instalar backdoors, demonstrando a séria ameaça de segurança na cadeia de extensões do VS Code.

Foto de Ellen Santos Ellen Santos Mande um e-mail 3 dias atrás
0 22 1 minuto de leitura
Foto de Ellen Santos

Ellen Santos

Artigos relacionados

Pane na AWS afeta mais de 500 empresas no mundo e causa instabilidade em serviços populares

2 horas atrás

Governo lança Política Nacional de Conectividade em Rodovias para ampliar internet nas estradas

3 dias atrás

Anatel e Ancine reforçam combate à pirataria digital em painel da Regulation Week

3 dias atrás

Debate sobre compartilhamento de postes no Brasil: Aneel, Anatel e entidades divergem sobre cessão obrigatória e preços

3 dias atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo