Quando a Microsoft criou o VSCode (Visual Studio Code), procurar criar uma solução para os programadores, que pudesse ser integrada com extensões e extras. Conseguiu criar uma ferramenta que conquistou o mercado, mas que ainda assim tem espaço para melhorar.
Uma análise recente ao Marketplace que serve o VSCode veio revelar um cenário preocupante. É muito simples colocar extensões maliciosas nesta loja e assim explorar os dados dos utilizadores, sem que estes tenham conhecimento deste perigo.
Cuidado com as extensões do VSCode
Para todos os que se dedicam à programação, o VSCode é uma escolha quase óbvia. Desde que foi apresentado que tem conquistado esta área, sendo já usado por mais de 70% de todos os que lidam de forma diária com várias linguagens de programação.
Com todas as ferramentas extras a que dá acesso através das extensões, torna-se anda melhor e mais útil para os programadores. É precisamente no Marketplace, local de acesso às extensões, que foi agora descoberta uma vulnerabilidade muito importante.
🚨 Aqua Nautilus has discovered attackers can easily impersonate VSCode extensions and trick developers into downloading them.
Conta Exclusiva ChatGPT: Acesso Ilimitado
Desbloqueie o poder do ChatGPT com recursos premium. Aproveite 80,5% de desconto e garantia de 100% de satisfação. Junte-se hoje e viva a melhor experiência de chat com IA!
Cypress, do Zero à Nuvem: domine a automação de testes com confiabilidade e eficiência
Aprimore suas habilidades de automação de testes com Cypress, desde o início até a integração contínua.
Saiba Mais💻 Torne-se um Desenvolvedor Fullstack!
Domine as tecnologias mais requisitadas do mercado e conquiste sua carreira dos sonhos como Desenvolvedor Fullstack. Inscreva-se hoje!
Inscreva-se🚨 Aqua Nautilus has discovered attackers can easily impersonate VSCode extensions and trick developers into downloading them.
This method targets developers through their IDEs and could potentially compromise the entire #software development process. https://t.co/JzXc4T6tnG
— Aqua Security (@AquaSecTeam) January 6, 2023
Marketplace da Microsoft tem falha óbvia
O que a AquaSec descobriu é que é possível colocar extensões nessa loja que são em tudo idênticas às legitimas. O pormenor vai ao ponto de terem o mesmo nome, as mesmas descrições e até os mesmos logotipos e imagens.
Ao ser instalada uma destas extensões, passava a ser possível várias ações. Isto passava por instalar programas adicionais, roubar ou adulterar o código-fonte no VSCode e até mesmo usar as chaves SSH do programador para aceder a repositórios GitHub ligados.
Falha está já a ser explorada por atacantes no VSCode
O mais preocupante nesta descoberta é que este não é apenas um cenário hipotético. Há já algumas extensões presentes no Marketplace que simulam outras de muito maior sucesso e que procuram roubar dados dos utilizadores. Um dos exemplos encontrados fazia pedidos a um servidor central, aguardando uma resposta positiva para poder iniciar ações maliciosas.
O conselho a dar a quem usa o VSCode é que tenham atenção redobrada ao instalar extensões da Marketplace. Validem o nome correto do que procurem, avaliem o número de instalações e até os comentários de outros utilizadores. Este é um perigo real e as consequências podem ser graves, em especial em ambientes corporativos.
LEIA TAMBÉM:
Gostou deste conteúdo?
Assine o E-Zine Ramos da Informática e receba semanalmente conteúdos exclusivos focados em desenvolvimento frontend, backend e bancos de dados para turbinar sua carreira tech.
📘 Conteúdo Exclusivo
Dicas, insights e guias práticos para alavancar suas habilidades em desenvolvimento e bancos de dados.
🚀 Hacks de Carreira
Ferramentas, atalhos e estratégias para se destacar e crescer rapidamente no mercado de tecnologia.
🌟 Tendências Tech
As novidades mais relevantes sobre desenvolvimento web, mobile e bancos de dados para você se manter atualizado.
Já somos mais de 5.000 assinantes! Junte-se a uma comunidade de profissionais que compartilham conhecimento e crescem juntos no universo tech.
 veio revelar um cenário preocupante...){kind=link}