Uma nova campanha de malware identificada por pesquisadores da Trend Micro está mirando diretamente desenvolvedores de software por meio da exploração do ecossistema de extensões do Microsoft Visual Studio Code (VS Code). O ataque utiliza um novo information stealer denominado Evelyn Stealer, projetado para coletar dados sensíveis e transformar ambientes de desenvolvimento comprometidos em portas de entrada para ataques mais amplos às organizações.
O que é o Evelyn Stealer?
O Evelyn Stealer é um malware do tipo infostealer que faz uso de extensões maliciosas do VS Code como vetor inicial de infecção. Segundo análises publicadas pela Trend Micro, a campanha é multietapas e altamente furtiva, dificultando a detecção por soluções tradicionais de segurança.
A atividade foi inicialmente documentada pela Koi Security, que identificou pelo menos três extensões maliciosas hospedadas no ecossistema do VS Code. Essas extensões atuam como droppers, responsáveis por baixar e executar cargas maliciosas adicionais no sistema da vítima.
Como o ataque funciona
De forma resumida, a cadeia de ataque segue o seguinte fluxo:
-
O desenvolvedor instala uma extensão aparentemente legítima no VS Code;
-
A extensão maliciosa descarrega uma DLL downloader;
-
Essa DLL executa um comando oculto em PowerShell, responsável por buscar o segundo estágio do malware;
-
O payload principal do Evelyn Stealer é descriptografado e injetado diretamente na memória de um processo legítimo do Windows;
-
Os dados coletados são compactados em um arquivo ZIP e exfiltrados via FTP para um servidor remoto.
Essa abordagem fileless e baseada em injeção em memória aumenta significativamente a capacidade de evasão do malware.
Quais dados são roubados?
De acordo com a Trend Micro, o Evelyn Stealer é capaz de coletar uma ampla gama de informações, incluindo:
-
Conteúdo da área de transferência (clipboard);
-
Aplicações instaladas;
-
Carteiras de criptomoedas;
-
Processos em execução;
-
Capturas de tela do desktop;
-
Credenciais Wi-Fi armazenadas;
-
Informações do sistema;
-
Cookies e credenciais salvas nos navegadores Google Chrome e Microsoft Edge.
Esse conjunto de dados torna o impacto do ataque especialmente crítico, principalmente em ambientes corporativos e de desenvolvimento.
Por que desenvolvedores são alvos de alto valor?
Comunidades de desenvolvedores são consideradas alvos estratégicos por atacantes, pois frequentemente possuem:
-
Acesso a repositórios de código-fonte;
-
Credenciais de ambientes de produção;
-
Tokens de APIs e serviços em nuvem;
-
Chaves privadas e ativos digitais.
Um único endpoint comprometido pode servir como ponto inicial para movimentação lateral, comprometimento de pipelines CI/CD e acesso não autorizado a sistemas críticos da organização.
Técnicas de evasão e antiforense
O Evelyn Stealer também implementa mecanismos avançados de evasão, como:
-
Detecção de ambientes de análise e máquinas virtuais;
-
Interrupção de processos de navegadores ativos para evitar interferências;
-
Execução totalmente em memória, reduzindo artefatos em disco.
Essas técnicas reforçam o nível de maturidade operacional da campanha.
Impactos para empresas e equipes de TI
Segundo a Trend Micro, organizações com times de desenvolvimento que utilizam o VS Code e extensões de terceiros estão diretamente expostas ao risco. O impacto pode incluir:
-
Vazamento de credenciais corporativas;
-
Comprometimento de ambientes em nuvem;
-
Roubo de ativos digitais;
-
Quebra de confidencialidade e integridade do código-fonte.
Como se proteger desse tipo de ameaça
Para reduzir os riscos associados a campanhas como o Evelyn Stealer, recomenda-se:
-
Restringir e auditar extensões permitidas no VS Code;
-
Adotar políticas de Application Allowlisting;
-
Monitorar comportamentos anômalos em endpoints de desenvolvedores;
-
Implementar soluções de EDR/XDR com foco em detecção comportamental;
-
Realizar treinamentos de conscientização em segurança para equipes técnicas.
A campanha do Evelyn Stealer evidencia uma tendência clara: ataques cada vez mais direcionados ao ecossistema de desenvolvimento de software. Ao explorar extensões de ferramentas amplamente utilizadas, como o VS Code, cibercriminosos conseguem atingir alvos de alto valor com grande potencial de impacto organizacional.
Proteger ambientes de desenvolvimento deixou de ser opcional e passou a ser um pilar fundamental da estratégia de segurança das empresas.
