Поделиться
Упорный злоумышленник проталкивает вредоносы в реестры VSCode, Добился десятков тысяч скачиваний
Хакер развернул активную деятельность в магазине программных компонентов Microsoft Visual Code (VSCode) и реестре OpenVSX, с разных аккаунтов публикуя одни и те же вредоносы. Они набрали уже более десятка тысяч скачиваний, и злоумышленник перепубликовывает их после каждого удаления
Злой и упорный
Некий киберзлоумышленник или группа, известная только под псевдонимом TigerJack, с завидным упорством публикует на маркете Microsoft Visual Code (VSCode) и в реестре OpenVSX вредоносные компоненты, предназначенные для кражи криптовалютных активов и установки бэкдоров.
Два расширения, которые набрали в VSCode более 17 тысяч скачиваний, по-прежнему доступны в OpenVSX. В то же время TigerJack повторно публикует вредоносный код в VSCode под другими именами.
Если VSCode - это магазин, контролируемый Microsoft, то OpenVSX - это открытая площадка, администрируемая самим сообществом и не аффилированная с вендором. На нём также располагаются редакторы Cursor и Windsurf, совместимые с VSCode, но в силу технических или юридических причин недоступные в маркетплейсе Microsoft.
Кампанию, затеянную TigerJack, обнаружили исследователи компании Koi Security. По их данным, с начала текущего года он занимался распространением не менее 11 вредоносных расширений VSCode. Два из них - C++ Playground и HTTP Format, недавно вычищенные из магазина Microsoft, снова опубликованы с других аккаунтов.
При запуске C++ Playground регистрирует модуль прослушки (onDidChangeTextDocument) для файлов C++, который пытается вывести исходный код на множество внешних эндпойнтов. Этот модуль запускается спустя примерно 500 миллисекунд после каждого внесённого изменения, что позволяет перехватывать нажатия клавиш практически в режиме реального времени.
Что касается, HTTP Format, то он содержит заявленную функциональность, но к этому добавляется скрытый криптомайнер CoinIMP, который эксплуатирует вычислительные ресурсы хоста для генерации криптовалют. При этом никаких ограничений на захват ресурсов у него нет, так что он перегружает и процессор, и оперативную память.
Скоординированная кампания
Ещё три расширения TigerJack (cppplayground, httpformat и pythonformat) перехватывают код JavaScript с фиксированного адреса и запускают его на заражённой системе..
Этот адрес - ab498.pythonanywhere.com/static/in4.js - опрашивается каждые 20 минут, что позволяет запускать произвольный код без обновления самого расширения.
По мнению исследователей, этот третий вредонос опаснее двух предыдущих, поскольку обеспечивает возможность подгрузки любого вредоносного содержимого, - инфостилеров, бэкдоров, шифровальщиков и т.д. - в проекты на Visual Code, после чего скомпрометированные машины могут использоваться в качестве точек входа в корпоративные сети и для других вредоносных действий.
Как отмечают эксперты Koi Security, TigerJack - это «скоординированная операция, использующая множественные аккаунты», которая создаёт иллюзию активности независимых разработчиков с убедительно выглядящим бэкграундом, который включают репозитории в GitHub, бренды, подробное описание функциональности разработок и названия расширений, напоминающие легитимные инструменты.
«Как ни прискорбно, атаки на цепочки поставок уже приобрели некоторый набор стандартных приёмов и подходов, и нынешняя кампания в целом им соответствует, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Контрабанда вредоносных компонентов в легитимные программные разработки открывает широкие возможности для злоумышленников, и едва ли остались community-ресурсы, где подобные попытки ещё не предпринимались».
Администраторы OpenVSX получили уведомление о вредоносах, но пока не отреагировали на них.
Поделиться
Короткая ссылка
