Uma extensão maliciosa do VS Code abriu brechas em 3.800 repositórios internos no GitHub. O fundador da Binance, CZ, foi às redes sociais alertar desenvolvedores do setor cripto sobre os riscos imediatos.
O GitHub confirmou um incidente de segurança envolvendo uma extensão comprometida do Visual Studio Code. A ferramenta, amplamente utilizada por desenvolvedores, foi adulterada de forma a permitir o acesso não autorizado a milhares de repositórios privados hospedados na plataforma — expondo potencialmente credenciais sensíveis, incluindo chaves de API de serviços financeiros e cripto.
Segundo a BeInCrypto, ao menos 3.800 repositórios internos foram atingidos pelo ataque, que se propagou por meio de uma extensão envenenada distribuída pelo próprio marketplace do VS Code. A técnica, conhecida como supply chain attack (ataque à cadeia de suprimentos de software), é especialmente perigosa porque explora ferramentas em que os desenvolvedores já depositam plena confiança.
Changpeng Zhao (CZ), fundador da Binance, reagiu rapidamente ao episódio. Em publicação nas redes sociais, ele orientou desenvolvedores que atuam com criptomoedas a rotacionar imediatamente suas chaves de API — ou seja, invalidar as credenciais antigas e gerar novas — como medida preventiva diante da possibilidade de vazamento. A recomendação vale especialmente para quem usa o VS Code integrado a ambientes de desenvolvimento com acesso a exchanges, carteiras ou infraestrutura blockchain.
É uma credencial digital que permite a comunicação entre sistemas. No contexto cripto, chaves de API dão acesso programático a contas em exchanges, podendo autorizar ordens, saques e leitura de saldos.
Ataque que compromete ferramentas ou bibliotecas legítimas usadas por desenvolvedores. Em vez de invadir o alvo diretamente, o agente malicioso infiltra o ecossistema de software que a vítima já utiliza e confia.
É o processo de revogar uma chave de API existente e emitir uma nova em seu lugar. Isso garante que, mesmo que uma credencial tenha sido copiada, ela não possa mais ser usada por terceiros.
Desenvolvedores frequentemente armazenam variáveis de ambiente, tokens e credenciais em repositórios privados durante o ciclo de desenvolvimento. A exposição dessas informações pode comprometer sistemas inteiros.
Por que o setor cripto é alvo prioritário
Ataques à cadeia de suprimentos de software não são novidade, mas ganham contornos mais graves quando o alvo são ambientes de desenvolvimento ligados a ativos digitais. Ao contrário de sistemas bancários tradicionais, transações em blockchain são irreversíveis. Um agente mal-intencionado com acesso a uma chave de API configurada com permissão de saque pode esvaziar contas sem deixar margem para contestação.
O alerta de CZ reforça uma prática que especialistas em segurança recomendam de forma recorrente: nunca armazenar credenciais críticas em repositórios de código, mesmo que privados, e adotar rotação periódica de chaves como política padrão, não apenas após incidentes.
Boas práticas imediatas para devs cripto
Se você usa o VS Code em projetos que envolvem chaves de API de exchanges ou carteiras digitais: revogue todas as credenciais ativas agora, gere novas chaves com permissões mínimas necessárias, ative autenticação de dois fatores nas plataformas de desenvolvimento e revise as extensões instaladas, removendo aquelas de origem desconhecida ou sem manutenção ativa.
O GitHub não divulgou publicamente quais extensões específicas foram comprometidas nem o período exato de exposição dos repositórios. A plataforma informou que está investigando o incidente e notificando os repositórios afetados. Desenvolvedores que utilizaram o VS Code em projetos sensíveis durante o período devem tratar o ambiente como potencialmente comprometido até nova orientação.
Leia tambem: como blindar suas criptomoedas contra roubos.
📰 Nota editorial
Esta reportagem foi produzida com base em informações divulgadas pela BeInCrypto e em declarações públicas de Changpeng Zhao (CZ). O KriptoHoje não teve acesso independente aos sistemas afetados e recomenda que desenvolvedores acompanhem os canais oficiais do GitHub para atualizações sobre o incidente.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Sua cripto segura começa no hardware
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Ataques à cadeia de suprimentos de softwareComo agentes maliciosos comprometem ferramentas legítimas para atingir desenvolvedores e empresas sem levantar suspeitas.
🔑 Segurança de chaves de API em exchanges criptoBoas práticas para configurar, limitar permissões e proteger credenciais de acesso programático em plataformas de negociação.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.