Кибербезопасники обнаружили два вредоносных расширения для Visual Studio Code под названиями «ahban.shiba» и «ahban.cychelloworld», предназначенных для разворачивания ransomware на ранней стадии разработки. Расширения были оперативно удалены модераторами VSCode Marketplace.
В обоих расширениях реализован вызов команды PowerShell, которая загружает скриптовый payload с сервера команд и управления (C2). Такой механизм позволяет злоумышленникам внедрять исполняемый код непосредственно на компьютере жертвы.
На данный момент payload шифрует файлы исключительно в папке «testShiba», расположенной на рабочем столе Windows. После выполнения скрипта пользователю выводится сообщение: «Ваши файлы зашифрованы. Оплатите 1 ShibaCoin на ShibaWallet, чтобы восстановить их», что указывает на незавершённость разработки вредоносного ПО.
Несколько месяцев назад специалисты по безопасности цепочек поставок программного обеспечения отмечали появление вредоносных расширений VSCode, замаскированных под Zoom, с функционалом для загрузки неизвестного вторичного payload с удалённого сервера. Этот инцидент демонстрирует использование аналогичных тактик злоумышленниками.
Отдельное внимание привлёк случай с вредоносным Maven-пакетом, который имитирует библиотеку scribejava-core OAuth. Пакет тайно утечивает данные учетных записей и активирует механизм экспорта информации 15-го числа каждого месяца, что указывает на использование временного триггера для обхода обнаружения.
Злоумышленники загрузили данный пакет в Maven Central 25 января 2024 года, и он остаётся доступным для скачивания. Применённая тактика typosquatting проявилась в создании шести зависимых пакетов, использующих группу «io.github.leetcrunch» вместо официального пространства имён «com.github.scribejava», что дополнительно повышает риск интеграции вредоносного кода в проекты.
Специалист по безопасности Куш Пандья отметил: «Злоумышленники использовали typosquatting — создав почти идентичное название, чтобы обмануть разработчиков и внедрить вредоносный пакет». Такой подход способствует завоеванию доверия и увеличивает вероятность включения опасного ПО в рабочие проекты.
Изображение носит иллюстративный характер
В обоих расширениях реализован вызов команды PowerShell, которая загружает скриптовый payload с сервера команд и управления (C2). Такой механизм позволяет злоумышленникам внедрять исполняемый код непосредственно на компьютере жертвы.
На данный момент payload шифрует файлы исключительно в папке «testShiba», расположенной на рабочем столе Windows. После выполнения скрипта пользователю выводится сообщение: «Ваши файлы зашифрованы. Оплатите 1 ShibaCoin на ShibaWallet, чтобы восстановить их», что указывает на незавершённость разработки вредоносного ПО.
Несколько месяцев назад специалисты по безопасности цепочек поставок программного обеспечения отмечали появление вредоносных расширений VSCode, замаскированных под Zoom, с функционалом для загрузки неизвестного вторичного payload с удалённого сервера. Этот инцидент демонстрирует использование аналогичных тактик злоумышленниками.
Отдельное внимание привлёк случай с вредоносным Maven-пакетом, который имитирует библиотеку scribejava-core OAuth. Пакет тайно утечивает данные учетных записей и активирует механизм экспорта информации 15-го числа каждого месяца, что указывает на использование временного триггера для обхода обнаружения.
Злоумышленники загрузили данный пакет в Maven Central 25 января 2024 года, и он остаётся доступным для скачивания. Применённая тактика typosquatting проявилась в создании шести зависимых пакетов, использующих группу «io.github.leetcrunch» вместо официального пространства имён «com.github.scribejava», что дополнительно повышает риск интеграции вредоносного кода в проекты.
Специалист по безопасности Куш Пандья отметил: «Злоумышленники использовали typosquatting — создав почти идентичное название, чтобы обмануть разработчиков и внедрить вредоносный пакет». Такой подход способствует завоеванию доверия и увеличивает вероятность включения опасного ПО в рабочие проекты.
