Οι κακόβουλες επεκτάσεις Microsoft VSCode κλέβουν κωδικούς πρόσβασης, ανοίγουν απομακρυσμένα κελύφη
Related Posts
Οι κυβερνοεγκληματίες αρχίζουν να στοχεύουν το VSCode Marketplace της Microsoft, ανεβάζοντας τρεις κακόβουλες επεκτάσεις του Visual Studio που οι προγραμματιστές των Windows κατέβασαν 46.600 φορές.
Σύμφωνα με
Σημείο ελέγχου
οι αναλυτές του οποίου ανακάλυψαν τις κακόβουλες επεκτάσεις και τις ανέφεραν στη Microsoft, το κακόβουλο λογισμικό επέτρεψε στους παράγοντες της απειλής να κλέψουν διαπιστευτήρια, πληροφορίες συστήματος και να δημιουργήσουν ένα απομακρυσμένο κέλυφος στον υπολογιστή του θύματος.
Οι επεκτάσεις ανακαλύφθηκαν και αναφέρθηκαν στις 4 Μαΐου 2023 και στη συνέχεια αφαιρέθηκαν από την αγορά VSCode στις 14 Μαΐου 2023.
Ωστόσο, οποιοσδήποτε προγραμματιστής λογισμικού εξακολουθεί να χρησιμοποιεί τις κακόβουλες επεκτάσεις πρέπει να τις αφαιρέσει με μη αυτόματο τρόπο από τα συστήματά τους και να εκτελέσει μια πλήρη σάρωση για να εντοπίσει τυχόν υπολείμματα μόλυνσης.
Κακόβουλες περιπτώσεις στο VSCode Marketplace
Το Visual Studio Code (VSC) είναι ένα πρόγραμμα επεξεργασίας πηγαίου κώδικα που δημοσιεύεται από τη Microsoft και χρησιμοποιείται από
σημαντικό ποσοστό
επαγγελματιών προγραμματιστών λογισμικού σε όλο τον κόσμο.
Η Microsoft λειτουργεί επίσης μια αγορά επεκτάσεων για το IDE που ονομάζεται VSCode Marketplace, η οποία προσφέρει πάνω από 50.000 πρόσθετα που επεκτείνουν τη λειτουργικότητα της εφαρμογής και παρέχουν περισσότερες επιλογές προσαρμογής.
Οι κακόβουλες επεκτάσεις που ανακαλύφθηκαν από τους ερευνητές του Check Point είναι οι εξής:
“Theme Darcula dark”
– Περιγράφεται ως “μια απόπειρα βελτίωσης της συνοχής των χρωμάτων Dracula στον κώδικα VS”, αυτή η επέκταση χρησιμοποιήθηκε για την κλοπή βασικών πληροφοριών σχετικά με το σύστημα του προγραμματιστή, όπως όνομα κεντρικού υπολογιστή, λειτουργικό σύστημα, πλατφόρμα CPU, συνολική μνήμη και πληροφορίες σχετικά με την CPU.
Αν και η επέκταση δεν περιείχε άλλη κακόβουλη δραστηριότητα, δεν είναι τυπική συμπεριφορά που σχετίζεται με ένα πακέτο θεμάτων.
Αυτή η επέκταση είχε τη μεγαλύτερη κυκλοφορία μακράν, ληφθείσα πάνω από 45.000 φορές.
Επέκταση Darcula στο VSCode Marketplace
(Σημείο ελέγχου)
‘python-vscode’
– Αυτή η επέκταση λήφθηκε 1.384 φορές παρά την κενή περιγραφή και το όνομα του προγράμματος μεταφόρτωσης «testUseracc1111», δείχνοντας ότι το να έχετε ένα καλό όνομα αρκεί για να συγκεντρώσετε κάποιο ενδιαφέρον.
Η ανάλυση του κώδικά του έδειξε ότι είναι ένα C# shell injector που μπορεί να εκτελέσει κώδικα ή εντολές στον υπολογιστή του θύματος.
Θολωμένη συσκευή έγχυσης κώδικα C#
(Σημείο ελέγχου)
“Ομορφότερη java”
– Με βάση το όνομα και την περιγραφή της επέκτασης, πιθανότατα δημιουργήθηκε για να μιμηθεί το δημοφιλές «
πιο όμορφη-java
Εργαλείο μορφοποίησης κώδικα.
Στην πραγματικότητα, έκλεψε αποθηκευμένα διαπιστευτήρια ή διακριτικά ελέγχου ταυτότητας από το Discord και το Discord Canary, το Google Chrome, το Opera, το Brave Browser και το Yandex Browser, τα οποία στη συνέχεια στάλθηκαν στους εισβολείς μέσω ενός webhook του Discord.
Η επέκταση είχε 278 εγκαταστάσεις.
Αναζητώντας τοπικά μυστικά
(Σημείο ελέγχου)
Το Check Point εντόπισε επίσης πολλές ύποπτες επεκτάσεις, οι οποίες δεν μπορούσαν να χαρακτηριστούν κακόβουλες με βεβαιότητα, αλλά επέδειξαν μη ασφαλή συμπεριφορά, όπως η ανάκτηση κώδικα από ιδιωτικά αποθετήρια ή η λήψη αρχείων.
Τα αποθετήρια λογισμικού έρχονται με κίνδυνο
Τα αποθετήρια λογισμικού που επιτρέπουν τις συνεισφορές των χρηστών, όπως το NPM και το PyPi, έχουν αποδειχθεί επανειλημμένα ότι είναι επικίνδυνα στη χρήση τους, καθώς έχουν γίνει δημοφιλής στόχος για τους παράγοντες απειλών.
Ενώ το VSCode Marketplace μόλις αρχίζει να στοχεύεται, το AquaSec έδειξε τον Ιανουάριο ότι ήταν αρκετά εύκολο να ανεβάσετε κακόβουλες επεκτάσεις στο VSCode Marketplace και παρουσίασε ορισμένες εξαιρετικά ύποπτες περιπτώσεις. Ωστόσο, δεν κατάφεραν να βρουν κακόβουλο λογισμικό.
Οι περιπτώσεις που ανακαλύφθηκαν από το Check Point καταδεικνύουν ότι οι φορείς απειλών προσπαθούν τώρα ενεργά να μολύνουν τους προγραμματιστές των Windows με κακόβουλες υποβολές, όπως ακριβώς κάνουν σε άλλα αποθετήρια λογισμικού όπως το NPM και το PyPI.
Συνιστάται στους χρήστες του VSCode Marketplace και όλων των αποθετηρίων που υποστηρίζονται από χρήστες να εγκαθιστούν επεκτάσεις μόνο από αξιόπιστους εκδότες με πολλές λήψεις και αξιολογήσεις κοινότητας, να διαβάζουν κριτικές χρηστών και να επιθεωρούν πάντα τον πηγαίο κώδικα της επέκτασης πριν την εγκαταστήσουν.
