Вредоносные пакеты атакуют разработчиков в экосистемах VS Code, Go, Rust и npm

Исследователь Идан Дардикман из компании Koi Security обнаружил новую угрозу в Microsoft Visual Studio Code (VS Code) Marketplace. Злоумышленники разместили три вредоносных расширения, замаскированных под инструменты для разработчиков, с целью заражения компьютеров программами-стилерами. Эти пакеты выдавали себя за «премиальную темную тему» и «помощника по написанию кода на базе ИИ», однако их скрытой задачей была кража конфиденциальных данных. Как отметил исследователь, возможности вредоносов позволяли злоумышленникам делать снимки экрана: «Все, что находится на вашем экране, видят и они».

Вредоносная кампания в VS Code велась через издателя BigBlack. Расширение с именем BigBlack.bitcoin-black, успевшее набрать 16 установок, было удалено Microsoft 5 декабря 2025 года; его вредоносный код активировался при каждом действии в редакторе. Другое расширение, BigBlack.codo-ai, было скачано 25 раз и удалено 8 декабря 2025 года. Чтобы обойти обнаружение, злоумышленники внедрили вредоносный функционал в реально работающий инструмент. Третье расширение, BigBlack.mrbigblacktheme, также было удалено за содержание вредоносного ПО.

Техническая реализация атаки в VS Code включала использование скриптов PowerShell для загрузки защищенного паролем ZIP-архива с внешнего домена syn1112223334445556667778889990[.]org. В ранних версиях атака выдавала себя появлением окна PowerShell, но в последующих итерациях хакеры перешли на скрытые пакетные скрипты и команды curl. Для распаковки полезной нагрузки использовались четыре различных метода, включая Expand-Archive, System.IO.Compression (.NET), DotNetZip и 7-Zip, если он был установлен в системе.

Для закрепления в системе и выполнения кода применялся метод DLL hijacking (подмена динамически подключаемой библиотеки). Вредонос использовал легитимный бинарный файл популярного инструмента для скриншотов Lightshot, загружая вместе с ним зловредную библиотеку Lightshot.dll. Это позволяло собирать содержимое буфера обмена, информацию об установленных приложениях, запущенных процессах, сохраненных паролях Wi-Fi, а также воровать данные из кода, электронной почты и личных сообщений в Slack. Кроме того, вредонос запускал браузеры Google Chrome и Microsoft Edge в безголовом режиме (headless mode) для перехвата сессий и сохраненных cookie-файлов.

Параллельно с угрозами в VS Code, исследователь Куш Пандья из организации Socket выявил вредоносные пакеты, нацеленные на экосистемы Go, Rust и npm. Эти пакеты предназначались для сбора конфиденциальных данных разработчиков. В экосистеме Go злоумышленники использовали тактику тайпосквоттинга, создавая библиотеки с именами github[.]com/bpoorman/uuid и github[.]com/bpoorman/uid. Эти пакеты имитировали доверенные библиотеки github[.]com/google/uuid и github[.]com/pborman/uuid.

Вредоносные пакеты для Go были доступны в репозиториях с 2021 года. Механизм кражи данных активировался, когда приложение вызывало вспомогательную функцию под названием «valid». Похищенная информация затем отправлялась на сайт для публикации текста dpaste. Длительное присутствие этих пакетов в открытом доступе подчеркивает сложность выявления угроз, маскирующихся под легитимные инструменты с похожими названиями.

В экосистеме Rust Куш Пандья обнаружил вредоносный крейт (пакет) под названием finch-rust, опубликованный пользователем faceless. Он выдавал себя за легитимный инструмент для биоинформатики «finch». Пакет содержал в основном безопасный код, но включал одну вредоносную строку, которая срабатывала при использовании функции сериализации эскизов (sketch serialization functionality). finch-rust действовал как загрузчик, подтягивая другой пакет sha-rust, содержащий непосредственный код для кражи учетных данных. Разделение функционала на «чистый» загрузчик и вредоносный пейлоад значительно усложняло обнаружение атаки. Также в отчете Socket упоминается наличие угроз в экосистеме npm, подтверждающее мультиплатформенный характер данной волны атак.

Источник: Ravie Lakshmanan