Vulnerabilidade no VS Code permite Spoofing de verificação de extensões e ataques de RCE

Um estudo recente realizado por pesquisadores da OX Security revelou uma grave falha em ambientes de desenvolvimento integrado (IDEs) populares como o Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA e Cursor. A vulnerabilidade permite que hackers executem códigos maliciosos nas máquinas de desenvolvedores ao explorar brechas no processo de verificação de extensões, criando uma falsa sensação de segurança.

Os pesquisadores Nir Zadok e Moshe Siman Tov Bustan, da OX Security, destacaram em seu relatório que "verificações falhas no Visual Studio Code permitem que editores adicionem funcionalidades a extensões, mantendo o ícone de verificação". Isso significa que extensões criadas por hackers podem parecer legítimas e verificadas, enganando desenvolvedores desavisados e facilitando a execução de comandos no sistema operacional.

A análise detalhada revelou que o Visual Studio Code envia uma requisição HTTP POST para o domínio "marketplace.visualstudio[.]com" para determinar a autenticidade de uma extensão. A exploração dessa falha envolve a criação de uma extensão maliciosa que replica os valores verificáveis de uma extensão já confiável, como as da Microsoft, driblando assim as verificações de segurança.

Do ponto de vista da segurança, a descoberta representa um caso clássico de abuso de sideload de extensões, onde hackers distribuem plugins fora do marketplace oficial. Sem a devida aplicação de assinatura de código ou verificação de um editor confiável, até mesmo extensões que parecem legítimas podem esconder scripts perigosos.

Para os invasores, essa vulnerabilidade abre um ponto de entrada de baixa barreira para obter execução remota de código – um risco especialmente crítico em ambientes de desenvolvimento, onde credenciais confidenciais e códigos-fonte estão frequentemente acessíveis.

Em uma prova de conceito (PoC) demonstrada pela empresa de cibersegurança, a extensão maliciosa foi configurada para abrir o aplicativo Calculadora em uma máquina Windows, evidenciando sua capacidade de executar comandos no host subjacente. Ao identificar e modificar os valores utilizados nas solicitações de verificação, os pesquisadores conseguiram criar um arquivo de pacote VSIX que dava à extensão fraudulenta uma aparência legítima.

A OX Security afirmou ter conseguido reproduzir a falha em outros IDEs, como o IntelliJ IDEA e o Cursor, modificando os valores usados para verificação sem que as extensões perdessem seu status de verificado.

Em resposta às divulgações responsáveis, a Microsoft informou que o comportamento é intencional e que as alterações impedirão a publicação de extensões VSIX no Marketplace devido à verificação de assinatura de extensão, que é habilitada por padrão em todas as plataformas. No entanto, a empresa de cibersegurança constatou que a falha ainda era explorável em 29 de junho de 2025. O The Hacker News entrou em contato com a Microsoft para obter mais comentários e aguarda uma resposta oficial.

As descobertas reforçam a importância de não confiar cegamente apenas no símbolo de verificação das extensões, pois hackers podem induzir desenvolvedores a executar códigos maliciosos sem o seu conhecimento. Para mitigar esses riscos, é altamente recomendável que os desenvolvedores instalem extensões diretamente de marketplaces oficiais, em vez de utilizar arquivos de extensão VSIX compartilhados online ou em fontes não confiáveis.

"A capacidade de injetar código malicioso em extensões, empacotá-las como arquivos VSIX/ZIP e instalá-las, mantendo os símbolos verificados em diversas plataformas de desenvolvimento importantes, representa um risco sério", alertaram os pesquisadores da OX Security. "Essa vulnerabilidade afeta principalmente desenvolvedores que instalam extensões de recursos online, como o GitHub."

Via - THN