ΑρχικήSecurityΚακόβουλες επεκτάσεις Microsoft VSCode κλέβουν password

Κακόβουλες επεκτάσεις Microsoft VSCode κλέβουν password

Οι εγκληματίες του κυβερνοχώρου αρχίζουν να στοχεύουν το VSCode Marketplace της Microsoft, έχοντας ανεβάσει τρεις κακόβουλες επεκτάσεις του Visual Studio, τις οποίες οι προγραμματιστές των Windows έχουν κατεβάσει 46.600 φορές.

VSCode

Δείτε επίσης: Η ScanSource ανακοίνωσε ότι έπεσε θύμα επίθεσης ransomware

Σύμφωνα με την Check Point, οι αναλυτές της οποίας ανακάλυψαν τις κακόβουλες επεκτάσεις και τις ανέφεραν στη Microsoft, το κακόβουλο λογισμικό επέτρεψε στους απειλητικούς φορείς να κλέψουν credentials, πληροφορίες συστήματος και να δημιουργήσουν ένα remote shell στο μηχάνημα του θύματος.

Οι επεκτάσεις ανακαλύφθηκαν και αναφέρθηκαν στις 4 Μαΐου 2021 και στη συνέχεια αφαιρέθηκαν από το VSCode marketplace στις 14 Μαΐου 2021.

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 93 minutes ago

Ωστόσο, όσοι προγραμματιστές λογισμικού εξακολουθούν να χρησιμοποιούν τις κακόβουλες επεκτάσεις πρέπει να τις αφαιρέσουν χειροκίνητα από τα συστήματά τους και να εκτελέσουν μια πλήρη σάρωση για να εντοπίσουν τυχόν υπολείμματα της μόλυνσης.

Δείτε επίσης: Ransomware ομάδα ζητά δωρεά για φιλανθρωπικό σκοπό αντί για λύτρα

Κακόβουλες περιπτώσεις στο VSCode Marketplace

Το Visual Studio Code (VSC) είναι ένας επεξεργαστής πηγαίου κώδικα που δημοσιεύεται από τη Microsoft και χρησιμοποιείται από ένα σημαντικό ποσοστό επαγγελματιών προγραμματιστών λογισμικού παγκοσμίως.

Η Microsoft λειτουργεί επίσης μια αγορά επεκτάσεων για το IDE που ονομάζεται VSCode Marketplace, η οποία προσφέρει πάνω από 50.000 πρόσθετα που επεκτείνουν τη λειτουργικότητα της εφαρμογής και παρέχουν περισσότερες επιλογές προσαρμογής.

Οι κακόβουλες επεκτάσεις που ανακάλυψαν οι ερευνητές της Check Point είναι οι εξής:

‘Theme Darcula dark’ – “Περιγράφεται ως “μια προσπάθεια βελτίωσης της συνέπειας των χρωμάτων Dracula στο VS Code”, η επέκταση αυτή χρησιμοποιήθηκε για την κλοπή βασικών πληροφοριών σχετικά με το σύστημα του προγραμματιστή, συμπεριλαμβανομένου του hostname, του λειτουργικού συστήματος, της πλατφόρμας CPU, της συνολικής μνήμης και πληροφοριών σχετικά με την CPU”

Ενώ η επέκταση δεν περιείχε καμία άλλη κακόβουλη δραστηριότητα, δεν είναι τυπική συμπεριφορά που σχετίζεται με ένα πακέτο θεμάτων.

Αυτή η επέκταση είχε μακράν τη μεγαλύτερη κυκλοφορία, καθώς κατέβηκε πάνω από 45.000 φορές.

‘python-vscode’ – Αυτή η επέκταση κατέβηκε 1.384 φορές παρά την κενή περιγραφή και το όνομα του uploader “testUseracc1111”, δείχνοντας ότι ένα καλό όνομα αρκεί για να συγκεντρώσει κάποιο ενδιαφέρον.

Η ανάλυση του κώδικά του έδειξε ότι πρόκειται για ένα C# shell injector, το οποίο μπορεί να εκτελέσει κώδικα ή εντολές στον υπολογιστή του θύματος.

‘prettiest java’ – Με βάση το όνομα και την περιγραφή της επέκτασης, δημιουργήθηκε πιθανότατα για να μιμηθεί το δημοφιλές εργαλείο μορφοποίησης κώδικα “Prettier-Java”.

Στην πραγματικότητα, έκλεψε αποθηκευμένα credentials ή authentication tokens από το Discord και το Discord Canary, το Google Chrome, το Opera, το Brave Browser και το Yandex Browser, τα οποία στη συνέχεια στάλθηκαν στους επιτιθέμενους μέσω ενός webhook του Discord.

Η επέκταση είχε 278 installations.

Η Check Point εντόπισε επίσης πολλές ύποπτες επεκτάσεις, οι οποίες δεν μπορούσαν να χαρακτηριστούν ως κακόβουλες με βεβαιότητα, ωστόσο επέδειξαν μη ασφαλή συμπεριφορά, όπως η ανάκτηση κώδικα από ιδιωτικά αποθετήρια ή η λήψη αρχείων.

Δείτε επίσης: Cisco: Προειδοποιεί για κρίσιμα σφάλματα switch με δημόσιο κώδικα εκμετάλλευσης

VSCode

Τα software repositories έρχονται με κίνδυνο

Τα software repositories που επιτρέπουν τις συνεισφορές των χρηστών, όπως το NPM και το PyPI, έχουν αποδειχθεί επανειλημμένα ότι η χρήση τους είναι επικίνδυνη, καθώς έχουν γίνει δημοφιλείς στόχοι για τους απειλητικούς φορείς.

Ενώ η αγορά VSCode Marketplace μόλις άρχισε να γίνεται στόχος, η AquaSec απέδειξε τον Ιανουάριο ότι ήταν αρκετά εύκολο να φορτώσει κανείς κακόβουλες επεκτάσεις στο VSCode Marketplace και παρουσίασε μερικές εξαιρετικά ύποπτες περιπτώσεις, ωστόσο δεν μπόρεσε να βρει κακόβουλο λογισμικό.

Οι περιπτώσεις που ανακάλυψε η Check Point αποδεικνύουν ότι οι απειλητικοί φορείς προσπαθούν πλέον ενεργά να μολύνουν τους προγραμματιστές των Windows με κακόβουλες υποβολές, όπως ακριβώς κάνουν και σε άλλα αποθετήρια λογισμικού, όπως το NPM και το PyPI.

Οι χρήστες του VSCode Marketplace και όλων των αποθετηρίων που υποστηρίζονται από τους χρήστες, συνιστάται να εγκαθιστούν επεκτάσεις μόνο από αξιόπιστους εκδότες με πολλές λήψεις και αξιολογήσεις από την κοινότητα, να διαβάζουν κριτικές χρηστών και να ελέγχουν πάντα τον πηγαίο κώδικα της επέκτασης πριν την εγκαταστήσουν.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS