Ερευνητές ανακάλυψαν κακόβουλες επεκτάσεις Visual Studio Code (VSCode) που κατεβάζουν obfuscated PowerShell payloads για να στοχεύσουν developers και cryptocurrency projects στα πλαίσια επιθέσεων supply chain.
Οι ερευνητές της Reversing Labs ανέφεραν ότι οι κακόβουλες επεκτάσεις εμφανίστηκαν για πρώτη φορά στο VSCode marketplace τον Οκτώβριο.
“Η κοινότητα ενημερώθηκε για πρώτη φορά, για αυτήν την εκστρατεία, στις αρχές Οκτωβρίου και από τότε, η ομάδα την παρακολουθεί σταθερά“.
Ένα επιπλέον πακέτο που στοχεύει την κοινότητα crypto και είναι μέρος αυτής της καμπάνιας βρέθηκε στο NPM.
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Δείτε επίσης: Ψεύτικα Bitwarden ads στο Facebook ωθούν επέκταση Chrome που κλέβει πληροφορίες
Κακόβουλες επεκτάσεις Visual Studio Code (VSCode)
Η καμπάνια περιλαμβάνει 18 κακόβουλες επεκτάσεις που στοχεύουν κυρίως επενδυτές crypto και όσους αναζητούν εργαλεία παραγωγικότητας όπως το Zoom.
Οι ερευνητές εντόπισαν τις παρακάτω επεκτάσεις στο VSCode Marketplace:
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoCommunications.Zoom
- ZoomINC.Zoom-Workplace
- Ethereum.SoliditySupport
- ZoomWorkspace.Zoom (3 versions)
- ethereumorg.Solidity-Language-for-Ethereum
- VitalikButerin.Solidity-Ethereum (two versions)
- SolidityFoundation.Solidity-Ethereum
- EthereumFoundation.Solidity-Language-for-Ethereum (2 versions)
- SOLIDITY.Solidity-Language
- GavinWood.SolidityLang (2 versions)
- EthereumFoundation.Solidity-for-Ethereum-Language
Στο npm, οι επιτιθέμενοι ανέβασαν πέντε εκδόσεις του πακέτου ‘etherscancontacthandler‘, που ελήφθησαν συλλογικά 350 φορές.
Για να αυξηθεί η φαινομενική νομιμότητα των πακέτων, οι επιτιθέμενοι πρόσθεσαν ψεύτικες κριτικές και αύξησαν τεχνητά των αριθμό των εγκαταστάσεων.
Δείτε επίσης: Οι Kimsuky hackers χρησιμοποιούν κακόβουλη επέκταση Chrome για κλοπή στοιχείων
Η ReversingLabs λέει ότι όλες οι κακόβουλες επεκτάσεις VSCode είχαν την ίδια λειτουργικότητα και σχεδιάστηκαν για να κατεβάζουν obfuscated second-stage payloads από ύποπτα domains.
Δύο από τα κακόβουλα domains που επιλέχθηκαν, για να δώσουν μια αίσθηση νομιμότητας, είναι τα “microsoft-visualstudiocode[.]com” και “captchacdn[.]com“, ενώ άλλα χρησιμοποιούσαν TLD όπως “.lat” και “.ru”.
Προς το παρόν, δεν έχουν αναλυθεί τα payloads δεύτερου σταδίου, επομένως οι λειτουργίες του είναι άγνωστες.
Σύμφωνα με το BleepingComputer, τα δευτερεύοντα payloads που ελήφθησαν από αυτές τις κακόβουλες επεκτάσεις VSCode είναι obfuscated αρχεία Windows CMD που εκκινούν μια κρυφή εντολή PowerShell. Αυτή η εντολή αποκρυπτογραφεί συμβολοσειρές (κρυπτογραφημένες με AES) σε πρόσθετα αρχεία CMD για να εγκαταστήσει περαιτέρω κακόβουλα payloads στο παραβιασμένο σύστημα και να τα εκτελέσει.
Οι ερευνητές παρείχαν μια λίστα με τα κακόβουλα πακέτα και τις επεκτάσεις VSCode με τα SHA1 hashes, στο κάτω μέρος της έκθεσής τους.
Δείτε επίσης: Κακόβουλες ειδοποιήσεις του SharePoint διανέμουν Xloader Malware
Η ανακάλυψη κακόβουλων επεκτάσεων VSCode είναι μια σαφής υπενθύμιση της συνεχιζόμενης απειλής των κυβερνοεπιθέσεων στην κοινότητα των developers και στην crypto κοινότητα. Καθώς η ζήτηση για εργαλεία και βιβλιοθήκες τρίτων συνεχίζει να αυξάνεται, είναι σημαντικό οι developers να λαμβάνουν τις απαραίτητες προφυλάξεις για την προστασία του περιβάλλοντος και των δεδομένων τους από πιθανούς εισβολείς. Αυτό περιλαμβάνει τον τακτικό έλεγχο της πηγής και των κριτικών των επεκτάσεων που χρησιμοποιούνται στο development environment τους. Παραμένοντας σε εγρήγορση, εφαρμόζοντας ασφαλείς πρακτικές κωδικοποίησης και πραγματοποιώντας τακτικά αξιολογήσεις ευπαθειών, οι προγραμματιστές μπορούν να αμυνθούν καλύτερα.
Πηγή: www.bleepingcomputer.com