Ssylka

Удаление вредоносных расширений VSCode

Кибербезопасники обнаружили два вредоносных расширения для Visual Studio Code под названиями «ahban.shiba» и «ahban.cychelloworld», предназначенных для разворачивания ransomware на ранней стадии разработки. Расширения были оперативно удалены модераторами VSCode Marketplace.
Удаление вредоносных расширений VSCode
Изображение носит иллюстративный характер

В обоих расширениях реализован вызов команды PowerShell, которая загружает скриптовый payload с сервера команд и управления (C2). Такой механизм позволяет злоумышленникам внедрять исполняемый код непосредственно на компьютере жертвы.

На данный момент payload шифрует файлы исключительно в папке «testShiba», расположенной на рабочем столе Windows. После выполнения скрипта пользователю выводится сообщение: «Ваши файлы зашифрованы. Оплатите 1 ShibaCoin на ShibaWallet, чтобы восстановить их», что указывает на незавершённость разработки вредоносного ПО.

Несколько месяцев назад специалисты по безопасности цепочек поставок программного обеспечения отмечали появление вредоносных расширений VSCode, замаскированных под Zoom, с функционалом для загрузки неизвестного вторичного payload с удалённого сервера. Этот инцидент демонстрирует использование аналогичных тактик злоумышленниками.

Отдельное внимание привлёк случай с вредоносным Maven-пакетом, который имитирует библиотеку scribejava-core OAuth. Пакет тайно утечивает данные учетных записей и активирует механизм экспорта информации 15-го числа каждого месяца, что указывает на использование временного триггера для обхода обнаружения.

Злоумышленники загрузили данный пакет в Maven Central 25 января 2024 года, и он остаётся доступным для скачивания. Применённая тактика typosquatting проявилась в создании шести зависимых пакетов, использующих группу «io.github.leetcrunch» вместо официального пространства имён «com.github.scribejava», что дополнительно повышает риск интеграции вредоносного кода в проекты.

Специалист по безопасности Куш Пандья отметил: «Злоумышленники использовали typosquatting — создав почти идентичное название, чтобы обмануть разработчиков и внедрить вредоносный пакет». Такой подход способствует завоеванию доверия и увеличивает вероятность включения опасного ПО в рабочие проекты.


Новое на сайте

15807Почему использование посудомоечной машины превосходит ручную мойку посуды? 15806Амбициозный план Кеннеди по раскрытию причин аутизма сталкивается с научным скептицизмом 15805Какой очиститель воздуха выбрать владельцам домашних животных в 2025 году? 15804Хоацин: доисторический "вонючий" обитатель амазонских джунглей 15803Эволюция диагностики аутизма: рост выявляемости, а не распространенности 15802Как новый алгоритм BOSSA может решить "проблему коктейльной вечеринки" для... 15801Как Peloton изменил домашние тренировки и почему его велотренажеры считаются лучшими? 15800Историческое событие для фанатов: "доктор кто" впервые высадится в Лагосе 15799Где наблюдать за весенней миграцией птиц в Йоркшире и Линкольншире? 15798Сергей Эгельман | Семинар премии Норма Харди 2024 15797Как Google заплатит Техасу $1,4 млрд за сбор данных без разрешения? 15796Как найти любой файл на вашем смартфоне? 15795За кулисами производства наушников дороже элитного автомобиля 15794Воссоздание парфенона 432 года до н.э.: цифровое путешествие в античность 15793Какой электрический велосипед выбрать для ежедневных поездок на работу в 2025 году?