Pesquisadores divulgaram múltiplas vulnerabilidades críticas em quatro extensões populares do Microsoft Visual Studio Code (VS Code) que, se exploradas com sucesso, podem permitir que hackers roubem arquivos locais e executem código remotamente nas máquinas de desenvolvedores.

As extensões afetadas Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview somam mais de 125 milhões de instalações. Segundo o relatório técnico, basta uma única extensão maliciosa ou apenas uma falha explorável em uma extensão legítima para que um invasor consiga se movimentar lateralmente na rede e comprometer ambientes corporativos inteiros.

As vulnerabilidades identificadas

Entre as falhas descobertas, destacam-se:

CVE-2025-65717 (CVSS 9.1) – Live Server -⚠️ Ainda não corrigida.

Permite a exfiltração de arquivos locais. O ataque ocorre quando o desenvolvedor, com a extensão ativa, visita um site malicioso. Um código JavaScript embutido na página consegue acessar o servidor HTTP local (localhost:5500), vasculhar arquivos e enviá-los para um domínio controlado pelo hacker.

CVE-2025-65716 (CVSS 8.8) – Markdown Preview Enhanced -⚠️ Ainda não corrigida.

Possibilita a execução de JavaScript arbitrário por meio de um arquivo Markdown (.md) malicioso. A exploração pode permitir enumeração de portas locais e exfiltração de dados.

CVE-2025-65715 (CVSS 7.8) – Code Runner -⚠️ Ainda não corrigida.

Permite execução arbitrária de código ao induzir a vítima, via phishing ou engenharia social, a modificar o arquivo “settings.json”.

Microsoft Live Preview

Uma falha (sem CVE atribuído) possibilitava acesso a arquivos sensíveis da máquina da vítima por meio de requisições JavaScript direcionadas ao localhost. A vulnerabilidade foi corrigida silenciosamente pela Microsoft na versão 0.4.16, lançada em setembro de 2025.

Extensões do VS Code possuem amplo acesso ao sistema operacional, arquivos locais e serviços internos. Quando mal configuradas, excessivamente permissivas ou vulneráveis, podem permitir que hackers executem código, modifiquem arquivos críticos e assumam o controle completo da máquina.

Em ambientes corporativos, o impacto pode ir além do dispositivo individual. Uma máquina comprometida pode servir como ponto de entrada para movimentação lateral, acesso a repositórios internos, segredos de API, credenciais armazenadas localmente e até pipelines de CI/CD.

Recomendações de segurança

Para reduzir os riscos no ambiente de desenvolvimento, especialistas recomendam:

• Evitar aplicar configurações não confiáveis;

• Desinstalar ou desabilitar extensões desnecessárias;

• Manter extensões sempre atualizadas;

• Restringir conexões de entrada e saída por meio de firewall;

• Desativar serviços locais (localhost) quando não estiverem em uso.

A manutenção de extensões vulneráveis instaladas representa uma ameaça imediata à postura de segurança da organização. Em muitos casos, pode ser necessário apenas um clique em um link malicioso ou a abertura de um repositório comprometido para que o ambiente inteiro seja afetado.