Uma perigosa campanha de malware atingiu milhares de desenvolvedores por meio de uma extensão falsa no Visual Studio Code Marketplace.
Em 21 de novembro de 2025, pesquisadores de segurança descobriram uma extensão maliciosa chamada “prettier-vscode-plus” projetada para induzir os desenvolvedores a instalá-la, imitando o formatador de código legítimo Prettier.
A extensão explorou o reconhecimento da marca e direcionou desenvolvedores que buscavam ferramentas de formatação, representando uma séria ameaça à comunidade de desenvolvimento.
A extensão maliciosa funcionou como um ataque de brandjacking, usando um nome e aparência quase idênticos à extensão Prettier genuína para enganar os usuários e fazê-los baixá-la.
Esse tipo de ataque é particularmente eficaz porque os desenvolvedores geralmente confiam em extensões populares que reconhecem.
Os pesquisadores de segurança da Checkmarx identificaram e relataram a extensão rapidamente, levando à sua remoção quatro horas após a publicação.
Apesar da resposta rápida, a extensão conseguiu acumular seis downloads e três instalações antes de ser retirada do mercado.
Os analistas de segurança da Checkmarx identificaram que a extensão implantou uma variante do malware Anivia Stealer, uma ferramenta de roubo de credenciais projetada para coletar informações confidenciais de sistemas Windows.
O malware tinha como alvo específico credenciais de login, metadados e comunicações privadas, incluindo bate-papos do WhatsApp.
Esta descoberta revelou um ataque sofisticado e bem coordenado que visa comprometer contas de desenvolvedores e roubar dados valiosos de autenticação.
Infraestrutura de ataque em vários estágios e táticas de evasão
O malware empregou um processo de implantação em vários estágios projetado para evitar a detecção por ferramentas de segurança comuns. O primeiro estágio envolveu a aquisição de dados de carga útil como um blob codificado em base64 de um repositório GitHub e, em seguida, a gravação do código VBScript no diretório temporário do sistema para execução.
O script VBS funcionou como um mecanismo de bootstrap, acionando comandos do PowerShell que descriptografaram o blob usando uma chave de criptografia AES (AniviaCryptKey2024!32ByteKey!HXX) diretamente na memória, sem gravar arquivos no disco.
Essa abordagem reduziu significativamente os artefatos forenses detectáveis, tornando o ataque mais difícil de ser rastreado pelos sistemas de segurança de endpoint.
O estágio final empregou Reflection.AssemblyLoad para executar o binário descriptografado da memória, chamando o ponto de entrada “Anivia.AniviaCRT” para ativar a funcionalidade do ladrão.
Essa técnica deixou evidências mínimas de infecção, sendo a presença de arquivos temporários a única atividade notável no disco. Além disso, o malware implementou técnicas avançadas de evasão, detectando ambientes sandbox, verificando pequenas contagens de CPU e disponibilidade limitada de RAM para evitar o disparo em câmaras de detonação.
A arquitetura sofisticada demonstrou agentes de ameaças qualificados desenvolvendo um ataque projetado especificamente para contornar soluções de detecção e resposta de endpoint.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
