Há alguns meses pesquisadores da assinatura de segurança Ox Security puseram o foco sobre um problema que deveria preocupar qualquer pessoa que use o Visual Studio Code com muitas extensões instaladas: falhas de segurança de gravidade alta a críticas em complementos muito populares que, em conjunto, superam 128 milhões de downloads. Estes erros permitem desde a exfiltração de arquivos locais até a execução remota de código dentro do ambiente de desenvolvimento, o que os torna uma porta de entrada ideal para ataques que terminam com credenciais comprometidas ou movimento lateral em redes corporativas.
As vulnerabilidades detectadas afetam extensões amplamente usadas: Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview. Ox Security publicou análises detalhadas para cada caso e afirma que seus pesquisadores tentaram notificar os mantenedores desde junho de 2025 sem obter resposta, pelo que finalmente fizeram públicas as pesquisas. Para quem quiser ver os relatórios técnicos, Ox Security tem entradas específicas sobre o Live Server, Code Runner, Markdown Preview Enhanced e a vulnerabilidade do Live Preview.
O Live Server, com dezenas de milhões de downloads, é particularmente preocupante: de acordo com o Ox Security, um site maliciosa pode aproveitar a falha identificada como CVE-2025-65717 para acessar arquivos locais quando o desenvolvedor tem um servidor local em execução. Isto não é um simples "defacement" de uma página do navegador: um exploit bem desenhado pode extrair arquivos com segredos (chaves API, tokens, arquivos de configuração) diretamente da sua máquina. A análise técnica está disponível no blog de Ox Security sobre Live Server.
Code Runner, outra extensão massiva, foi assinalada por uma vulnerabilidade catalogada como CVE-2025-65715 que permite a execução remota de código manipulando configurações. Em particular, um atacante pode induzir a vítima a introduzir ou colar snippets maliciosos no ficheiro global settings.json, o que acaba por alterar o comportamento do executor de código. Se um ator malicioso conseguir que sua configuração aponte a um executável ou comando arbitrário, abra a porta a correr código com seus privilégios Ox Security descreve como esse cenário pode ser criado em seu relatório sobre o Code Runner.
Markdown Preview Enhanced, que facilita a renderização de documentos Markdown dentro do editor, também apresentou uma falha (CVE-2025-65716, escore 8.8) que permite a execução de JavaScript a partir de arquivos Markdown especialmente manipulados. Como muitos desenvolvedores abrem documentos de terceiros ou vistas prévias locais, um arquivo Markdown malicioso pode ser suficiente para executar scripts no contexto da extensão, com as consequências que isso acarreta. O relatório técnico do Ox Security examina o vetor de ataque e as condições necessárias para explorá-lo.
Além disso, em versões antigas do Microsoft Live Preview identificou-se o que os pesquisadores descrevem como uma vulnerabilidade de tipo “one-click XSS” que afeta as versões anteriores à 0.4.16; explorada corretamente, permite acessar arquivos sensíveis do sistema de desenvolvimento. Para a verificação técnica e testes de conceito, Ox Security publicou um artigo que documenta o XSS no Live Preview.
Ox Security adverte que estas falhas não se limitam ao próprio VS Code: editores compatíveis ou “forks” que suportam extensões de VS Code, como Cursor ou Windsurf, também poderiam ficar expostos se carregarem essas extensões vulneráveis. O risco real vai além do arquivo comprometido: um atacante com acesso pode roubar chaves, pivotar dentro da rede e eventualmente tomar controle de sistemas, o que aumenta a ameaça a nível organizacional.
Se você usa o VS Code, o que você pode fazer agora mesmo? O primeiro é rever se você tiver instalado as extensões afetadas e verificar se seus mantenedores lançaram atualizações corretoras. Além disso, a Microsoft fornece orientações sobre segurança de extensões e função Workspace Trust, que ajudam a limitar a execução de código não confiável; convém ler essas guias e aplicá-las. Ox Security também publica recomendações práticas em seus relatórios, entre as quais se destacam evitar executar servidores locais desnecessários, não abrir HTML não verificado enquanto o servidor local está activo e não colar fragmentos de configuração em settings.json procedentes de fontes não confirmadas.
Para além de medidas pontuais, é prudente aplicar uma política de extensões mais restritiva: manter apenas as que realmente precisam, preferir autores e editores com boa reputação e monitorar mudanças inesperadas na configuração do VS Code. Para ambientes corporativos, isolar o desenvolvimento com ambientes remotos ou contentores reduz a exposição da equipe local; a documentação do Remote Development de VS Code pode servir como ponto de partida para este tipo de mitigação.
Por último, e não menos importante, a gestão responsável das vulnerabilidades requer comunicação entre pesquisadores e mantenedores. A falta de resposta às notificações de Ox Security explica em parte por que estas falhas chegaram a ser feitas públicas: quando não são corrigidas a tempo, a janela de risco se alarga. Para consultar as notas técnicas e testes de conceito publicadas pelos descubridores, consulte as análises de Ox Security sobre Live Server, Code Runner, Markdown Preview Enhanced e Live Preview. Para aprofundar como o VS Code trata a segurança de extensões e a confiança no espaço de trabalho, a documentação oficial da Microsoft é um bom recurso.
A moral é clara: as extensões convertem um IDE em uma ferramenta extremamente poderosa, mas também em uma superfície de ataque. Usar extensões não é em si inseguro, mas exige prudência, atualizações e controles Para que o ambiente de desenvolvimento não se transforme na entrada pela qual os atacantes roubam segredos ou tomam sistemas inteiros.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...