Pesquisadores da Doctor Web identificaram em 2025 um trojan que infecta projetos C++ e C# do Visual Studio para distribuir um backdoor em máquinas Windows. O malware altera arquivos de projeto, alcança novas compilações e combina roubo de dados, sequestro de área de transferência, mineração e infecção de outros arquivos.

Resumo/Pontos-chave

  • O malware contamina projetos de desenvolvimento, não apenas executáveis finais.
  • Arquivos de projeto alterados podem carregar código malicioso na compilação.
  • A campanha foi observada desde o quarto trimestre de 2025 e continuou evoluindo.
  • Equipes devem revisar repositórios, comparar arquivos de projeto e reconstruir ambientes a partir de fontes confiáveis.

Projeto vira vetor de infecção

Segundo a Doctor Web, o trojan foi observado em projetos C++ e C# usados com o Visual Studio. Em vez de depender apenas de um instalador ou anexo, o invasor altera arquivos que fazem parte do processo de desenvolvimento. Quando outro profissional abre e compila o projeto, o código inserido pode ser executado ou incorporado ao artefato produzido.

O método amplia a persistência do ataque. Um executável infectado pode ser apagado, mas uma solução contaminada continua distribuindo o código quando é recompilada. O projeto também pode chegar a novos computadores por repositórios compartilhados, cópias de segurança, pacotes internos ou colaboração entre desenvolvedores.

O código malicioso se espalha

O ataque explora os pontos de extensão do ambiente de desenvolvimento. Arquivos de projeto e componentes auxiliares podem definir etapas de compilação, referências e comandos executados antes ou depois do build. Ao modificar esses elementos, o malware cria um estágio de carregamento que parece parte do projeto legítimo.

Depois da execução, a carga pode baixar módulos adicionais e funcionar como backdoor. A reportagem do GBHackers descreve recursos associados ao caso: ladrão de informações, manipulador de área de transferência, minerador de criptomoedas e infectador de arquivos. A combinação permite roubar credenciais, redirecionar endereços de carteiras copiadas e usar o computador para gerar receita ao atacante.

O risco aumenta quando a estação de desenvolvimento guarda chaves SSH, tokens de nuvem, credenciais de registro de pacotes ou acesso a pipelines de integração contínua. O backdoor não precisa invadir o servidor de produção diretamente se conseguir capturar esses segredos na máquina usada para criar e publicar o software.

Componente Função observada Risco
Arquivos C++ e C# Persistência no projeto Distribuição para novas compilações
Backdoor Comunicação e carga modular Acesso remoto à estação
Ladrão de dados Coleta de informações Exposição de credenciais e arquivos
Manipulador de clipboard Troca de endereços copiados Desvio de pagamentos em criptoativos
Minerador Uso abusivo de CPU Consumo e degradação do equipamento

O risco para a cadeia

A ameaça não termina no computador infectado. Um binário produzido a partir de um projeto alterado pode ser enviado para clientes, servidores internos ou lojas de aplicativos. Mesmo sem uma campanha de ataque à cadeia de suprimentos comprovada neste caso, a posição do malware dentro do fluxo de desenvolvimento cria uma oportunidade para contaminar produtos e ampliar o alcance.

O caso exige atenção especial em projetos que aceitam contribuições externas. Uma revisão superficial do código-fonte pode não detectar alterações em arquivos de build, scripts auxiliares ou configurações do Visual Studio. O código que parece funcional precisa ser comparado com uma versão conhecida e compilado em ambiente isolado.

Leia também: como uma ferramenta de desenvolvimento pode virar canal de comando e por que corrigir software reduz vetores exploráveis.

Como investigar e conter

  1. Interrompa builds de projetos suspeitos e preserve cópias dos arquivos antes de iniciar a limpeza.
  2. Compare soluções, arquivos de projeto, scripts de build e referências com o repositório conhecido por estar íntegro.
  3. Revise processos filhos do Visual Studio, conexões de saída, tarefas agendadas e arquivos criados no período da compilação.
  4. Rote as chaves SSH, tokens de nuvem, credenciais de registros e segredos de CI/CD usados pela máquina afetada.
  5. Reconstrua a estação a partir de uma imagem confiável se houver evidência de backdoor; não confie apenas na remoção do executável malicioso.
  6. Adicione verificação de integridade e revisão obrigatória para alterações em arquivos de build antes de aceitar um projeto no pipeline.

Fontes