Fonte:

O grupo hacker WhiteCobra está atacando desenvolvedores através de extensões falsas criadas para editores de código como VSCode, Cursor e Windsurf. Os programas maliciosos roubam credenciais de acesso e até carteiras de criptomoeda, substituindo as extensões toda vez que as antigas são detectadas e removidas. 10 linguagens de programação úteis em hackathons de segurança virtual Ataque hacker no GitHub rouba mais de 3 mil chaves de acesso e credenciais A descoberta partiu de Zak Cole, programador do Ethereum, que relatou o roubo de sua carteira após instalar uma extensão que parecia legítima. Ela incluía ícone profissional, descrição detalhada e mais de 54.000 downloads — número que foi inflado artificialmente pelos golpistas. Extensões falsas e cuidados O ataque foi estudado por pesquisadores da Koi Security, que identificou os hackers da WhiteCobra. O grupo foi responsável por roubar US$ 500 mil (R$ 2,6 milhões) em criptomoedas no último mês de julho, usando métodos parecidos. A campanha do momento inclui ao menos 24 extensões falsas disponibilizadas no Visual Studio Marketplace e Open VSX, plataforma oficial do Cursor. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- O popular editor de códigos Visual Studio Code está entre os aplicativos atacados pelos hackers através das extensões (Imagem: VSCode/Divulgação) As plataformas possuem compatibilidade VSIX entre si e uma verificação das extensões submetidas insuficiente, segundo a Koi Security, virando um terreno fértil para golpes. Confira as extensões falsas identificadas pela firma de segurança:

VS Code Marketplace: awswhh da JuanFBlanco, etherfoundrys da ETHFoundry, givingblankies da EllisonBrett, wgbk da MarcusLockwood, blan-co da VitalikButerin-EthFoundation, SnowShoNo da ShowSnowcrypto, SnowShsoNo da Crypto-Extensions e rojo-roblox-vscode da Rojo;

Open-VSX (Cursor/Windsurf): ChainDevTools.solidity-pro, kilo-code da kilocode-ai, hardhat-solidity da nomic-fdn, oxc da oxc-vscode, solidity da juan-blanco, solidity-ethereum-vsc da kineticsquid, solidityethereum da ETHFoundry, solidity-ai-ethereum da JuanFBlanco, solidity-ethereum da Ethereum, vscode-solidity da juan-blanco, solidity-hardhat da nomic-fdn, solidity da Crypto-Extension e mais. Após a extensão ser baixada, o arquivo principal (extension.js) aparenta normalidade, com um código-fonte tão inofensivo quanto qualquer outra extensão. Um chamado sutil, no entanto, joga a execução para outro script (prompt.js) que baixa o payload malicioso do Cloudflare Pages. O malware se adapta ao sistema operacional do usuário, com versões para Windows, macOS ARM e macOS Intel. No Windows, o script é um PowerShell que funciona com um script Python, baixando um malware LummaStealer. No macOS, o vírus é um Mach-O binário de uma família de malwares ainda desconhecida. Segundo a Koi Security, o WhiteCobra é um grupo altamente organizado, capaz de lançar campanhas hackers com ataques em menos de três horas. Aos programadores, calha ter cuidado ao baixar extensões: verifique a autenticidade do projeto, desconfie de nomes que imitam extensões conhecidas e veja se o projeto é novo e acumulou muitos downloads e avaliações positivas em um curto período de tempo. Veja mais: Ataque ao GitHub resulta em invasão de cerca de 100 mil contas Criminosos podem usar serviço do GitHub para distribuir malware Desenvolvedor sabota os próprios projetos e trava milhares de apps em protesto VÍDEO | O Google sofreu o maior ataque hacker dos últimos anos #ctnews   Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.