det0561-detect-malicious-ide-extension-installusage-and-ide-tunneling

# DET0561 — Detect malicious IDE extension install/usage and IDE tunneling ## Descrição Extensões maliciosas de IDEs (Visual Studio Code, JetBrains, Eclipse) representam um vetor de ataque emergente na cadeia de suprimentos de software. Adversários públicam extensões falsas ou comprometidas em marketplaces (VS Code Marketplace, Open VSX) que executam código malicioso no ambiente de desenvolvimento do alvo, roubam tokens de autenticação, segredos de `.env` e chaves SSH, ou estabelecem túneis reversos para infraestrutura C2. O recurso de tunneling nativo do VS Code (`code tunnel`) é especialmente relevante para detecção: quando ativado, cria um túnel autenticado pelo GitHub/Microsoft Account que bypassa firewalls corporativos, permitindo acesso remoto completo ao ambiente de desenvolvimento. Adversários com acesso à conta GitHub da vítima podem explorar esse mecanismo como um C2 legítimo e difícil de bloquear. Grupos focados em desenvolvedores, como [[g0032-lazarus-group]] com a campanha Operation DreamJob, exploram esse perfil de alvo. A detecção deve monitorar a instalação de extensões não aprovadas via políticas de software (comparar com allowlist corporativa), processos filhos anômalos criados por processos de IDE, e conexões de rede para domínios de tunneling (como `tunnels.api.visualstudio.com`). Auditoria de extensões instaladas no workspace de CI/CD também é crítica. ## Indicadores de Detecção - Instalação de extensão VS Code/JetBrains fora da allowlist corporativa aprovada - Processo IDE criando conexão de saída para `tunnels.api.visualstudio.com` ou equivalente - Extensão executando subprocess (`node`, `python`, `sh`) com argumentos de rede suspeitos - Acesso a arquivos `.env`, `~/.ssh/id_*`, `~/.aws/credentials` por processo de extensão - Exfiltração de segredos via requisições HTTP para domínios não relacionados ao desenvolvimento - Ativação do serviço `code tunnel` sem autorização explícita do time de segurança ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an1548-analytic-1548|AN1548 — Analytic 1548]] - [[an1549-analytic-1549|AN1549 — Analytic 1549]] - [[an1550-analytic-1550|AN1550 — Analytic 1550]] --- *Fonte: [MITRE ATT&CK — DET0561](https://attack.mitre.org/detectionstrategies/DET0561)*