Ssylka

Удаление вредоносных расширений VSCode

Кибербезопасники обнаружили два вредоносных расширения для Visual Studio Code под названиями «ahban.shiba» и «ahban.cychelloworld», предназначенных для разворачивания ransomware на ранней стадии разработки. Расширения были оперативно удалены модераторами VSCode Marketplace.
Удаление вредоносных расширений VSCode
Изображение носит иллюстративный характер

В обоих расширениях реализован вызов команды PowerShell, которая загружает скриптовый payload с сервера команд и управления (C2). Такой механизм позволяет злоумышленникам внедрять исполняемый код непосредственно на компьютере жертвы.

На данный момент payload шифрует файлы исключительно в папке «testShiba», расположенной на рабочем столе Windows. После выполнения скрипта пользователю выводится сообщение: «Ваши файлы зашифрованы. Оплатите 1 ShibaCoin на ShibaWallet, чтобы восстановить их», что указывает на незавершённость разработки вредоносного ПО.

Несколько месяцев назад специалисты по безопасности цепочек поставок программного обеспечения отмечали появление вредоносных расширений VSCode, замаскированных под Zoom, с функционалом для загрузки неизвестного вторичного payload с удалённого сервера. Этот инцидент демонстрирует использование аналогичных тактик злоумышленниками.

Отдельное внимание привлёк случай с вредоносным Maven-пакетом, который имитирует библиотеку scribejava-core OAuth. Пакет тайно утечивает данные учетных записей и активирует механизм экспорта информации 15-го числа каждого месяца, что указывает на использование временного триггера для обхода обнаружения.

Злоумышленники загрузили данный пакет в Maven Central 25 января 2024 года, и он остаётся доступным для скачивания. Применённая тактика typosquatting проявилась в создании шести зависимых пакетов, использующих группу «io.github.leetcrunch» вместо официального пространства имён «com.github.scribejava», что дополнительно повышает риск интеграции вредоносного кода в проекты.

Специалист по безопасности Куш Пандья отметил: «Злоумышленники использовали typosquatting — создав почти идентичное название, чтобы обмануть разработчиков и внедрить вредоносный пакет». Такой подход способствует завоеванию доверия и увеличивает вероятность включения опасного ПО в рабочие проекты.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов