Pesquisadores em cibersegurança colocaram na mesa uma advertência séria para milhões de desenvolvedores: várias extensões populares do Visual Studio Code contêm falhas que, explorados corretamente, permitem roubar arquivos locais e executar código de forma remota. Estas ferramentas — incluindo o Live Server, o Code Runner, Markdown Preview Enhanced e a Microsoft Live Preview — suman mais de 125 milhões de instalações, o que torna a vulnerabilidade em um risco de grande alcance para equipes e organizações inteiras. Você pode ler o relatório completo dos descubridores no blog de OX Security aqui.
O vetor de ataque descrito pelos pesquisadores utiliza características comuns em muitas extensões: servidores locais que expõem recursos em localhost, a possibilidade de executar JavaScript em antevisão ou leitura e modificação de configurações do editor. No caso do Live Server, por exemplo, a extensão levanta por defeito um servidor de desenvolvimento em um porto local. Um atacante pode induzir a vítima a visitar um site maliciosa e, enquanto a extensão está ativa, esse código embebido realiza pedidos ao servidor local para recuperar arquivos e enviá-los para um domínio controlado pelo atacante. OX Security documenta este achado com mais detalhes em sua análise de CVE-2025-65717 aqui.
Outros problemas detectados seguem padrões semelhantes, mas com variantes técnicas. Em Markdown Preview Enhanced foi identificado um erro que permite a execução arbitrária de JavaScript quando um arquivo .md é iniciado, especialmente manipulado; isto pode facilitar a lista de portos locais e a extracção de informações para domínios externos (ver o relatório do OX Security sobre o OX Security Report). CVE-2025-65716). O Code Runner, por seu lado, tem uma fraqueza que permite executar o código se um atacante consegue enganar o programador para alterar o seu ficheiro de configuração (settings.json), uma técnica clássica de engenharia social documentada como CVE-2025-65715. Todas estas vulnerabilidades contam com pontuações CVSS altas que refletem sua gravidade.
O Microsoft Live Preview também foi apontado por permitir que um programa malicioso dirigido ao localhost acesse arquivos sensíveis quando a extensão estava em execução. Ao contrário das outras vulnerabilidades, a Microsoft publicou uma correção – de forma pouco chamativa no registro de mudanças – na versão 0.4.16 do projeto; a evidência e os detalhes do arranjo aparecem no changelog oficial do repositório aqui, enquanto a análise técnica do OX Security pode ser consultada aqui.
Por que este tipo de falhas é especialmente perigoso em um ambiente de desenvolvimento? Porque os ambientes de programação normalmente contêm chaves, certificados, senhas em ficheiros de configuração e repositórios com acesso a infra-estruturas empresariais. Uma única mudança inocente — abrir um arquivo, visitar um site ou aplicar uma configuração recomendada num projeto — pode ser suficiente para ativar a cadeia de exploração. Os pesquisadores insistiram que com uma única extensão vulnerável bastaria para se mover lateralmente e comprometer uma organização, e alertam para extensões mal concebidas ou com permissões demasiado amplas que podem executar código e modificar arquivos sem controle rigoroso.
Diante deste cenário, é conveniente tomar medidas práticas e realistas para reduzir o risco. É recomendável não aplicar configurações ou extensões provenientes de fontes não verificadas, desinstalar aquilo que não é usado e manter as extensões atualizadas para receber adesivos adequados. Também é prudente isolar os serviços locais atrás de corta-fogos que restrinjam conexões entrantes e salientes, e desativar servidores em localhost quando não forem necessários. A Microsoft fornece informações gerais sobre a gestão e utilização de extensões em sua documentação do marketplace Visual Studio Code, que pode ser consultada em seu guia oficial.
Além destas medidas, as práticas de higiene digital habituais continuam a ser essenciais: suspeitar de repositórios e arquivos desconhecidos, evitar executar passos de configuração recebidos por canais não verificados e ensinar as equipes a reconhecer tentativas de engenharia social que busquem alterar arquivos de configuração locais. Organizações com políticas de segurança maduras devem considerar controles adicionais, como a revisão de extensões permitidas, o uso de ambientes de trabalho isolados (sandboxed) e a monitorização de tráfego incomum para domínios externos desde máquinas de desenvolvimento.
A difusão dessas vulnerabilidades destaca um ponto fraco mais amplo: as extensões enriquecem os editores de código, mas também ampliam a superfície de ataque. O trabalho de empresas de segurança como o OX Security ajuda a visibilizar esses cenários e a pressionar para que sejam aplicadas correcções. Se você quiser rever as análises técnicas de cada falha, OX Security publicou entradas específicas para o Live Server, Markdown Preview Enhanced e Code Runner em seu blog: Live Server, Markdown Preview Enhanced e Code Runner, além da análise geral aqui.
Em suma, não se trata de demonizar as extensões, mas sim de tratá-las com a mesma cautela que qualquer software que tenha acesso a dados sensíveis. Rever, restringir e atualizar São ações simples que podem marcar a diferença entre um ambiente de desenvolvimento seguro e uma brecha com consequências graves. Fique atento às comunicações dos mantenedores das extensões que você usa e aplique adesivos assim que estiverem disponíveis.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...