Malware Evelyn Stealer explora extensões do VS Code para roubar informações de desenvolvedores

Uma nova campanha de malware que tem como alvo direto desenvolvedores de software. Batizado de Evelyn Stealer, o código malicioso está sendo distribuído por meio do ecossistema de extensões do Microsoft Visual Studio Code, abusando da confiança que profissionais depositam em plugins de terceiros amplamente utilizados no dia a dia.

De acordo com uma análise divulgada pela Trend Micro, o Evelyn Stealer foi projetado para exfiltrar informações sensíveis, incluindo credenciais de desenvolvedores e dados relacionados a criptomoedas. Ambientes de desenvolvimento comprometidos podem ainda ser utilizados como ponto de entrada para sistemas corporativos mais amplos, como ambientes de produção, recursos em nuvem e ativos digitais críticos.

A campanha foca especialmente organizações que possuem equipes de desenvolvimento que utilizam o VS Code com extensões de terceiros e que mantêm acesso privilegiado a sistemas sensíveis. Esse fator torna o ataque particularmente perigoso, já que desenvolvedores costumam operar com permissões elevadas e acesso a códigos-fonte, pipelines de CI/CD e credenciais de serviços em nuvem.

As primeiras evidências dessa atividade surgiram no mês anterior, quando a Koi Security identificou três extensões maliciosas na loja do VS Code: BigBlack.bitcoin-black, BigBlack.codo-ai e BigBlack.mrbigblacktheme. Essas extensões aparentavam ser legítimas, mas na prática instalavam um downloader malicioso em formato DLL, conhecido como Lightshot.dll, responsável por executar comandos ocultos em PowerShell.

Esse downloader fazia o download e a execução de um segundo estágio do ataque, um executável chamado runtime.exe. O arquivo, por sua vez, descriptografa e injeta o payload principal do stealer diretamente na memória de um processo legítimo do Windows (grpconv.exe), técnica que dificulta a detecção por soluções tradicionais de segurança.

Uma vez ativo, o Evelyn Stealer coleta uma grande variedade de informações, incluindo conteúdo da área de transferência, aplicativos instalados, carteiras de criptomoedas, processos em execução, capturas de tela da área de trabalho, credenciais Wi-Fi armazenadas, informações do sistema e credenciais salvas, além de cookies dos navegadores Google Chrome e Microsoft Edge. Os dados roubados são compactados em arquivos ZIP e enviados para um servidor remoto via FTP.

Para garantir uma coleta silenciosa e sem interferências, o malware encerra processos ativos de navegadores e os relança em modo oculto, utilizando uma série de parâmetros que desativam recursos de segurança, logs e extensões, além de posicionar a janela fora da tela. A campanha também incorpora mecanismos de evasão, como detecção de ambientes virtuais e ferramentas de análise, além do uso de um mutex para impedir que múltiplas instâncias do malware sejam executadas simultaneamente.

Segundo a Trend Micro, o Evelyn Stealer representa a consolidação de ataques cada vez mais direcionados à comunidade de desenvolvedores, considerados alvos de alto valor devido ao papel central que exercem na cadeia de desenvolvimento de software.

A divulgação desse caso ocorre em paralelo ao surgimento de duas novas famílias de malware do tipo stealer desenvolvidas em Python: MonetaStealer e SolyxImmortal. O MonetaStealer, inclusive, possui capacidade de atacar sistemas Apple macOS. Já o SolyxImmortal utiliza APIs legítimas do sistema operacional e bibliotecas amplamente conhecidas para extrair dados sensíveis e enviá-los a webhooks controlados por invasores na plataforma Discord, priorizando furtividade, persistência e acesso de longo prazo.