{"id":23954,"date":"2026-02-04T08:00:00","date_gmt":"2026-02-04T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23954"},"modified":"2026-01-26T11:33:51","modified_gmt":"2026-01-26T14:33:51","slug":"hackers-norte-coreanos-usam-projetos-maliciosos-no-vs-code-para-alvos-de-desenvolvimento","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2026\/02\/exploits\/hackers-norte-coreanos-usam-projetos-maliciosos-no-vs-code-para-alvos-de-desenvolvimento\/","title":{"rendered":"Hackers norte-coreanos usam projetos maliciosos no VS Code para alvos de desenvolvimento"},"content":{"rendered":"\n

Hackers norte-coreanos usam projetos maliciosos no VS Code para alvos de desenvolvimento: Um novo vetor de amea\u00e7a \u00e0 cadeia de software<\/strong><\/p>\n

O avan\u00e7o das t\u00e9cnicas de ataque cibern\u00e9tico vem se tornando cada vez mais sofisticado e estrat\u00e9gico, especialmente quando combinam engenharia social com explora\u00e7\u00e3o de ferramentas leg\u00edtimas amplamente utilizadas pela comunidade de desenvolvedores de software. Nos \u00faltimos dias, pesquisadores de seguran\u00e7a observaram uma campanha conduzida por atores ligados \u00e0 Coreia do Norte que utiliza projetos aparentemente leg\u00edtimos no Microsoft Visual Studio Code (VS Code)<\/strong> como vetor de distribui\u00e7\u00e3o de malware. Essa abordagem representa um salto significativo no panorama atual de amea\u00e7as \u2014 n\u00e3o apenas pela sofistica\u00e7\u00e3o t\u00e9cnica, mas por explorar pr\u00e1ticas comuns de desenvolvimento no dia a dia dos profissionais de tecnologia.<\/p>\n

\u00a0<\/p>\n

Vis\u00e3o geral do vetor de ataque<\/strong><\/p>\n

A campanha, denominada Contagious Interview<\/strong>, foi identificada pela Jamf Threat Labs. Nela, atacantes criam ofertas de emprego falsas e atraem desenvolvedores para participar de entrevistas t\u00e9cnicas aparentemente leg\u00edtimas. Esses convites convencem a v\u00edtima a clonar um reposit\u00f3rio hospedado em servi\u00e7os populares como GitHub, GitLab ou Bitbucket<\/strong>.<\/p>\n

O elemento crucial desse ataque n\u00e3o \u00e9 apenas o reposit\u00f3rio malicioso em si, mas a forma como ele explora uma funcionalidade leg\u00edtima do VS Code: o arquivo de configura\u00e7\u00e3o de tarefas (tasks.json<\/code>)<\/strong>. Quando um desenvolvedor abre esse projeto no ambiente, o VS Code pergunta se ele confia no autor. Se o programador aceitar, o editor processa automaticamente o arquivo de tarefas, o que pode desencadear a execu\u00e7\u00e3o de comandos maliciosos no sistema.<\/p>\n

Esses comandos fazem com que o sistema baixe um payload<\/em> JavaScript de um servidor remoto \u2014 muitas vezes hospedado em servi\u00e7os como o Vercel \u2014 o qual instala um backdoor persistente<\/strong> no dispositivo da v\u00edtima. Esse malware \u00e9 capaz de coletar informa\u00e7\u00f5es do sistema, estabelecer comunica\u00e7\u00e3o com servidores de comando e controle (C2) e permitir execu\u00e7\u00e3o remota de c\u00f3digo, abrindo a porta para espionagem, roubo de credenciais ou comprometimento mais profundo da rede.<\/p>\n

\u00a0<\/p>\n

Por que esse vetor \u00e9 importante?<\/strong><\/p>\n

O uso de Visual Studio Code para facilitar a execu\u00e7\u00e3o de malware representa uma evolu\u00e7\u00e3o t\u00e1tica dos agentes maliciosos. Historicamente, ataques t\u00e9cnicos sofisticados dependiam de vulnerabilidades em software ou de campanhas de phishing massivas. No entanto, explorar o fluxo natural de trabalho de um desenvolvedor \u2014 clonar e revisar c\u00f3digo em uma IDE \u2014 eleva o n\u00edvel de risco ao integrar a inseguran\u00e7a ao processo cotidiano de desenvolvimento de software<\/strong>.<\/p>\n

Esse tipo de ataque \u00e9 classificado como um comprometimento da cadeia de suprimento de software<\/strong>, pois atinge diretamente ferramentas e pr\u00e1ticas amplamente utilizadas na ind\u00fastria de TI. O que torna esse vetorial ainda mais perigoso \u00e9 que muitos desenvolvedores confiam em reposit\u00f3rios populares ou em recomenda\u00e7\u00f5es de c\u00f3digo sem verificar integralmente sua origem ou integridade.<\/p>\n

Al\u00e9m disso, a infraestrutura de backdoor<\/em> obtida ap\u00f3s a infec\u00e7\u00e3o pode permitir que os agentes espions ou realizem ataques adicionais, como movimentos laterais na rede corporativa, roubo de propriedade intelectual ou acessos a ambientes de produ\u00e7\u00e3o que compartilham credenciais com o sistema infectado.<\/p>\n

\u00a0<\/p>\n

Perfis de atores e motiva\u00e7\u00f5es<\/strong><\/p>\n

Campanhas como essa s\u00e3o frequentemente atribu\u00eddas a grupos com apoio estatal, como o Lazarus Group<\/strong>, um ator de amea\u00e7a persistente avan\u00e7ado (APT) associado ao governo da Coreia do Norte. Esse grupo tem um hist\u00f3rico extenso de opera\u00e7\u00f5es visando ganhos financeiros, espionagem cibern\u00e9tica e coleta de dados sens\u00edveis.<\/p>\n

Ao longo dos anos, o Lazarus e atores vinculados como Hidden Cobra ou ZINC foram associados a ataques de grande impacto, incluindo roubos de criptomoedas de centenas de milh\u00f5es de d\u00f3lares<\/strong>, ataques \u00e0 infraestrutura financeira e opera\u00e7\u00f5es de comprometimento de dados.<\/p>\n

O uso de campanhas de \u201centrevistas falsas\u201d \u2014 como observado neste caso \u2014 se encaixa em uma longa lista de t\u00e9cnicas enganosas que incluem spear phishing<\/em>, pacotes maliciosos em registries p\u00fablicos e engenharia social sofisticada que explora a confian\u00e7a natural entre desenvolvedores e ferramentas de c\u00f3digo aberto.<\/p>\n

\u00a0<\/p>\n

T\u00e9cnicas de execu\u00e7\u00e3o e persist\u00eancia<\/strong><\/p>\n

O vetor de execu\u00e7\u00e3o se baseia principalmente em dois elementos:<\/p>\n