Quando a Microsoft criou o VSCode (Visual Studio Code), procurar criar uma solução para os programadores, que pudesse ser integrada com extensões e extras. Conseguiu criar uma ferramenta que conquistou o mercado, mas que ainda assim tem espaço para melhorar.
Uma análise recente ao Marketplace que serve o VSCode veio revelar um cenário preocupante. É muito simples colocar extensões maliciosas nesta loja e assim explorar os dados dos utilizadores, sem que estes tenham conhecimento deste perigo.
Cuidado com as extensões do VSCode
Para todos os que se dedicam à programação, o VSCode é uma escolha quase óbvia. Desde que foi apresentado que tem conquistado esta área, sendo já usado por mais de 70% de todos os que lidam de forma diária com várias linguagens de programação.
Com todas as ferramentas extras a que dá acesso através das extensões, torna-se anda melhor e mais útil para os programadores. É precisamente no Marketplace, local de acesso às extensões, que foi agora descoberta uma vulnerabilidade muito importante.
🚨 Aqua Nautilus has discovered attackers can easily impersonate VSCode extensions and trick developers into downloading them.
Dê um Salto na Sua Carreira!
Receba dicas práticas, soluções objetivas e insights exclusivos que já impactaram mais de 5.000 profissionais.
🚀 Aprimore suas Habilidades DevOps!
Descubra como otimizar fluxos de trabalho, melhorar a integração contínua e revolucionar o gerenciamento de projetos no mundo DevOps. Acesse agora!
Saiba Mais💻 Torne-se um Desenvolvedor Fullstack!
Domine as tecnologias mais requisitadas do mercado e conquiste sua carreira dos sonhos como Desenvolvedor Fullstack. Inscreva-se hoje!
Inscreva-se🚨 Aqua Nautilus has discovered attackers can easily impersonate VSCode extensions and trick developers into downloading them.
This method targets developers through their IDEs and could potentially compromise the entire #software development process. https://t.co/JzXc4T6tnG
— Aqua Security (@AquaSecTeam) January 6, 2023
Marketplace da Microsoft tem falha óbvia
O que a AquaSec descobriu é que é possível colocar extensões nessa loja que são em tudo idênticas às legitimas. O pormenor vai ao ponto de terem o mesmo nome, as mesmas descrições e até os mesmos logotipos e imagens.
Ao ser instalada uma destas extensões, passava a ser possível várias ações. Isto passava por instalar programas adicionais, roubar ou adulterar o código-fonte no VSCode e até mesmo usar as chaves SSH do programador para aceder a repositórios GitHub ligados.
Falha está já a ser explorada por atacantes no VSCode
O mais preocupante nesta descoberta é que este não é apenas um cenário hipotético. Há já algumas extensões presentes no Marketplace que simulam outras de muito maior sucesso e que procuram roubar dados dos utilizadores. Um dos exemplos encontrados fazia pedidos a um servidor central, aguardando uma resposta positiva para poder iniciar ações maliciosas.
O conselho a dar a quem usa o VSCode é que tenham atenção redobrada ao instalar extensões da Marketplace. Validem o nome correto do que procurem, avaliem o número de instalações e até os comentários de outros utilizadores. Este é um perigo real e as consequências podem ser graves, em especial em ambientes corporativos.
LEIA TAMBÉM:
Gostou deste conteúdo?
Assine o E-Zine Ramos da Informática e receba semanalmente conteúdos exclusivos focados em desenvolvimento frontend, backend e banco de dados para transformar sua carreira tech.
📘 Conteúdo exclusivo
Dicas, insights e guias práticos sobre desenvolvimento e bancos de dados.
🚀 Hacks de carreira
Ferramentas e estratégias para se destacar no mercado tech.
🌟 Tendências tech
As novidades mais relevantes em desenvolvimento web e mobile e bancos de dados.
Já somos mais de 5.000 assinantes! Junte-se à nossa comunidade de profissionais que compartilham conhecimento e crescem juntos no universo tech.
 veio revelar um cenário preocupante...){kind=link}