AI ENGINEERING NEWS

MaliciousCorgi: extensões de IA populares vazaram código de 1,5 milhão de desenvolvedores

A
AI Engineering News
· · Atualizado em 4 de fevereiro de 2026 · 5 min de leitura
segurança VS Code extensões supply chain spyware desenvolvedores ferramentas de IA vulnerabilidades
MaliciousCorgi: extensões de IA populares vazaram código de 1,5 milhão de desenvolvedores

Em 22 de janeiro de 2026, pesquisadores da Koi Security identificaram uma campanha coordenada de spyware disfarçada como assistentes de código baseados em IA. As extensões "ChatGPT - 中文版" e "ChatMoss (CodeMoss)" para VS Code — com 1,35 milhão e 150 mil instalações respectivamente — continham código malicioso idêntico operando sob a mesma infraestrutura de exfiltração.

O impacto é significativo: estima-se que 1,5 milhão de desenvolvedores tiveram potencialmente seu código, credenciais e arquivos de configuração expostos. Para engenheiros que trabalham com sistemas de IA, o caso levanta questões críticas sobre a segurança da cadeia de suprimentos de ferramentas de desenvolvimento.

A descoberta afeta principalmente desenvolvedores que utilizam assistentes de código com IA em seus workflows, especialmente aqueles que trabalham com dados sensíveis, chaves de API e código proprietário.

O QUE FOI DESCOBERTO

A equipe de segurança da Koi identificou que duas extensões aparentemente independentes compartilhavam:

  • Código malicioso idêntico em suas bases de código
  • Mesma infraestrutura de comando e controle (domínio: aihao123.cn)
  • Publishers diferentes (WhenSunset e zhukunpeng), sugerindo coordenação deliberada
Extensão Publisher Instalações Status
ChatGPT - 中文版 WhenSunset 1,35M Ativa no momento da descoberta
ChatMoss (CodeMoss) zhukunpeng 150K Ativa no momento da descoberta

Ambas as extensões ofereciam funcionalidades legítimas de autocompletar código com IA, mas operavam canais paralelos de exfiltração de dados.

VISÃO TÉCNICA SIMPLIFICADA

Arquitetura do Ataque em Três Canais

O malware utilizava três mecanismos distintos de coleta de dados, operando simultaneamente:

Canal 1: Monitoramento em Tempo Real

  • Captura o conteúdo inteiro de arquivos quando abertos (não apenas o contexto de digitação)
  • Codifica arquivos em Base64 e transmite via iframes ocultos
  • Dispara em cada evento de teclado através do hook onDidChangeTextDocument

Essa abordagem é particularmente insidiosa porque extensões legítimas de autocomplete normalmente enviam apenas ~20 linhas de contexto durante a digitação ativa.

Canal 2: Harvesting Controlado por Servidor

  • Permite trigger remoto sem interação do usuário
  • Parseia campos jumpUrl de respostas do servidor como JSON executável
  • Comando getFilesList coleta até 50 arquivos por demanda
  • Opera independentemente da consciência do usuário

Canal 3: Profiling Comportamental

  • Iframe invisível (zero pixels) carrega quatro plataformas de analytics:
    • Zhuge.io
    • GrowingIO
    • TalkingData
    • Baidu Analytics
  • Constrói perfis de identidade, fingerprints de dispositivo e tracking comportamental
  • O profiling precede decisões de targeting de exfiltração

Indicadores de Comprometimento (IoCs)

Domínio C2: aihao123.cn
Extension IDs:
  - whensunset.chatgpt-china
  - zhukunpeng.chat-moss

O QUE MUDA NA PRÁTICA PARA ENGENHEIROS DE IA

🔐 Riscos de Segurança

  • Arquivos .env com credenciais de APIs de LLMs (OpenAI, Anthropic, etc.) podem ter sido exfiltrados
  • Chaves SSH e tokens de acesso a serviços cloud expostos
  • Código de fine-tuning, datasets proprietários e prompts de sistema comprometidos

🏗️ Arquitetura de Workflows

  • Necessidade de revisar a política de extensões permitidas em ambientes de desenvolvimento
  • Separação mais rígida entre ambientes de desenvolvimento e credenciais de produção
  • Implementação de secrets management com rotação automática

💸 Custos Potenciais

  • Custos de rotação emergencial de credenciais
  • Investigação forense para determinar escopo de exposição
  • Possível uso fraudulento de APIs com chaves vazadas

🧪 Maturidade do Ecossistema

  • O marketplace do VS Code não possui verificação rigorosa de código de extensões
  • Extensões populares não são necessariamente seguras
  • A popularidade pode ser artificialmente inflada

CASOS DE USO REAIS E POTENCIAIS DOS DADOS VAZADOS

O tipo de dados exfiltrado tem valor significativo para diferentes atores maliciosos:

Para Competidores

  • Código-fonte de features não lançadas
  • Arquiteturas de sistemas de IA proprietários
  • Datasets de treinamento e fine-tuning

Para Atacantes

  • Credenciais para APIs de serviços cloud (AWS, GCP, Azure)
  • Tokens de acesso a repositórios privados
  • Chaves de API de provedores de LLM para uso fraudulento

Para Espionagem Industrial

  • Propriedade intelectual de empresas de tecnologia
  • Algoritmos e modelos proprietários
  • Configurações de infraestrutura

LIMITAÇÕES, RISCOS E PONTOS DE ATENÇÃO

Sobre a Descoberta

  • O status atual das extensões no marketplace não foi confirmado publicamente
  • O número exato de desenvolvedores efetivamente comprometidos é desconhecido
  • Não está claro se o código foi usado ativamente para ataques direcionados

Sobre a Atribuição

  • A infraestrutura conectada a servidores chineses não prova necessariamente origem geográfica
  • Publishers podem usar identidades falsas
  • A coordenação entre as extensões sugere um ator organizado

Riscos Mais Amplos

  • Outras extensões de IA no marketplace podem conter código similar
  • A corrida por ferramentas de IA criou um vetor de ataque atraente
  • Desenvolvedores tendem a confiar em ferramentas com muitas instalações

O QUE OBSERVAR NOS PRÓXIMOS MESES

Resposta do VS Code Marketplace:

  • Microsoft deve implementar verificações mais rigorosas?
  • Haverá mudanças nas políticas de extensões?

Evolução do Ataque:

  • Outras extensões de IA serão identificadas com comportamento similar?
  • Atacantes migrarão para outras IDEs (JetBrains, Cursor, etc.)?

Regulamentação:

  • Casos como este podem acelerar regulamentação de supply chain de software?
  • Empresas passarão a exigir auditorias de extensões?

Ferramentas de Detecção:

  • Surgimento de soluções específicas para análise de comportamento de extensões?
  • Integração de scanning de extensões em pipelines de CI/CD?

CONEXÃO COM APRENDIZADO

Para quem quer se aprofundar em como arquitetar sistemas de IA seguros — incluindo gestão de credenciais, sandboxing de ferramentas e segurança de pipelines de ML — esse tema faz parte dos estudos da AI Engineering Academy.

🚀 Faça parte da comunidade AI Engineering

Quer receber as principais notícias de AI Engineering em primeira mão e trocar ideias com outros profissionais? Entre no nosso grupo no WhatsApp!

👉 Entrar no grupo do WhatsApp

Termos relacionados: supply chain security, VS Code extensions, spyware, code exfiltration, AI coding assistants, malicious extensions, developer security, IDE security, credentials theft, software supply chain attack

Compartilhar:

Quer ir além das notícias?

Aprenda a construir aplicações com IA na AI Engineering Academy.

Conhecer a Academy

Fique por dentro das novidades

Receba as últimas notícias sobre AI Engineering diretamente no seu email. Sem spam, prometemos.

Ao se inscrever, você concorda com nossa política de privacidade .

Artigos Relacionados