Pesquisadores da Doctor Web identificaram em 2025 um trojan que infecta projetos C++ e C# do Visual Studio para distribuir um backdoor em máquinas Windows. O malware altera arquivos de projeto, alcança novas compilações e combina roubo de dados, sequestro de área de transferência, mineração e infecção de outros arquivos.
Resumo/Pontos-chave
- O malware contamina projetos de desenvolvimento, não apenas executáveis finais.
- Arquivos de projeto alterados podem carregar código malicioso na compilação.
- A campanha foi observada desde o quarto trimestre de 2025 e continuou evoluindo.
- Equipes devem revisar repositórios, comparar arquivos de projeto e reconstruir ambientes a partir de fontes confiáveis.
Projeto vira vetor de infecção
Segundo a Doctor Web, o trojan foi observado em projetos C++ e C# usados com o Visual Studio. Em vez de depender apenas de um instalador ou anexo, o invasor altera arquivos que fazem parte do processo de desenvolvimento. Quando outro profissional abre e compila o projeto, o código inserido pode ser executado ou incorporado ao artefato produzido.
O método amplia a persistência do ataque. Um executável infectado pode ser apagado, mas uma solução contaminada continua distribuindo o código quando é recompilada. O projeto também pode chegar a novos computadores por repositórios compartilhados, cópias de segurança, pacotes internos ou colaboração entre desenvolvedores.
O código malicioso se espalha
O ataque explora os pontos de extensão do ambiente de desenvolvimento. Arquivos de projeto e componentes auxiliares podem definir etapas de compilação, referências e comandos executados antes ou depois do build. Ao modificar esses elementos, o malware cria um estágio de carregamento que parece parte do projeto legítimo.
Depois da execução, a carga pode baixar módulos adicionais e funcionar como backdoor. A reportagem do GBHackers descreve recursos associados ao caso: ladrão de informações, manipulador de área de transferência, minerador de criptomoedas e infectador de arquivos. A combinação permite roubar credenciais, redirecionar endereços de carteiras copiadas e usar o computador para gerar receita ao atacante.
O risco aumenta quando a estação de desenvolvimento guarda chaves SSH, tokens de nuvem, credenciais de registro de pacotes ou acesso a pipelines de integração contínua. O backdoor não precisa invadir o servidor de produção diretamente se conseguir capturar esses segredos na máquina usada para criar e publicar o software.
| Componente | Função observada | Risco |
|---|---|---|
| Arquivos C++ e C# | Persistência no projeto | Distribuição para novas compilações |
| Backdoor | Comunicação e carga modular | Acesso remoto à estação |
| Ladrão de dados | Coleta de informações | Exposição de credenciais e arquivos |
| Manipulador de clipboard | Troca de endereços copiados | Desvio de pagamentos em criptoativos |
| Minerador | Uso abusivo de CPU | Consumo e degradação do equipamento |
O risco para a cadeia
A ameaça não termina no computador infectado. Um binário produzido a partir de um projeto alterado pode ser enviado para clientes, servidores internos ou lojas de aplicativos. Mesmo sem uma campanha de ataque à cadeia de suprimentos comprovada neste caso, a posição do malware dentro do fluxo de desenvolvimento cria uma oportunidade para contaminar produtos e ampliar o alcance.
O caso exige atenção especial em projetos que aceitam contribuições externas. Uma revisão superficial do código-fonte pode não detectar alterações em arquivos de build, scripts auxiliares ou configurações do Visual Studio. O código que parece funcional precisa ser comparado com uma versão conhecida e compilado em ambiente isolado.
Leia também: como uma ferramenta de desenvolvimento pode virar canal de comando e por que corrigir software reduz vetores exploráveis.
Como investigar e conter
- Interrompa builds de projetos suspeitos e preserve cópias dos arquivos antes de iniciar a limpeza.
- Compare soluções, arquivos de projeto, scripts de build e referências com o repositório conhecido por estar íntegro.
- Revise processos filhos do Visual Studio, conexões de saída, tarefas agendadas e arquivos criados no período da compilação.
- Rote as chaves SSH, tokens de nuvem, credenciais de registros e segredos de CI/CD usados pela máquina afetada.
- Reconstrua a estação a partir de uma imagem confiável se houver evidência de backdoor; não confie apenas na remoção do executável malicioso.
- Adicione verificação de integridade e revisão obrigatória para alterações em arquivos de build antes de aceitar um projeto no pipeline.