- Duas extensões VSCode vazaram dados confidenciais de usuários para servidores na China
- ChatGPT – A versão chinesa e ChatMoss tiveram mais de 1,5 milhão de instalações combinadas
- As extensões usavam iframes, comandos e SDKs ocultos para roubar arquivos e rastrear atividades
Mais de 1,5 milhão de pessoas podem ter tido seus dados confidenciais infiltrados por hackers chineses por meio de duas extensões maliciosas encontradas no VSCode Marketplace.
Pesquisadores de segurança da Koi Security disseram que descobriram duas extensões maliciosas de navegador no Visual Studio Code (VSCode) Marketplace da Microsoft, a loja oficial da Microsoft para complementos de editores de código.
As extensões foram anunciadas como assistentes de codificação baseados em IA. Na verdade, eles funcionaram conforme anunciado, fornecendo aos usuários uma maneira fácil e conveniente de acessar uma ferramenta de Inteligência Artificial Generativa (GenAI) para ajudá-los a codificar. No entanto, as ferramentas também carregavam dados confidenciais para um servidor de terceiros na China sem notificar os usuários.
MaliciosoCorgi
Segundo Koi, estes são os add-ons em questão, ambos ainda disponíveis para download no mercado:
ChatGPT – Versão China (Editor: WhenSunset, 1,34 milhão de instalações)
ChatMoss (CodeMoss) (editor: zhukunpeng, 150 mil instalações)
Koi diz que ambos fazem parte da campanha ‘MaliciousCorgi’ e enviavam dados roubados para o mesmo servidor.
Para expulsar os dados, utilizaram três mecanismos diferentes, foi dito. A primeira é feita através do monitoramento em tempo real dos arquivos abertos no cliente VS Code. Assim que a vítima abre um arquivo, seu conteúdo é codificado em Base64 e enviado aos servidores.
“No momento em que você abre qualquer arquivo – não interaja com ele, apenas abra-o – a extensão lê todo o seu conteúdo, codifica-o como Base64 e envia-o para um webview com um iframe de rastreamento oculto. Não 20 linhas.
O segundo mecanismo é um comando controlado pelo servidor que envia até 50 arquivos do espaço de trabalho da vítima, enquanto o terceiro é um iframe de zero pixel na webview da extensão onde os SDKs de análise comercial são carregados. Esses SDKs rastreiam o comportamento do usuário, criam perfis de identidade e monitoram outras atividades.
Microsoft disse BipandoComputador O status estava em revisão, mas os complementos ainda estão disponíveis para download.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações nossas WhatsApp também
