Extensões maliciosas do Visual Studio Code foram descobertas no mercado VSCode, as quais baixam payloads de PowerShell altamente ofuscadas para visar desenvolvedores e projetos de criptomoedas em ataques à cadeia de suprimentos.
Em um relatório da Reversing Labs, pesquisadores afirmam que as extensões maliciosas apareceram pela primeira vez no mercado VSCode em outubro.
"Ao longo de outubro de 2024, a equipe de pesquisa da RL observou uma nova onda de extensões maliciosas do VSCode contendo funcionalidades de downloader — todas parte da mesma campanha," lê-se no relatório da Reversing Labs.
A comunidade foi notificada pela primeira vez dessa campanha no início de outubro, e desde então, a equipe tem sido incansável em rastreá-la.
Um pacote adicional visando a comunidade cripto e parte dessa campanha foi encontrado no NPM.
O pesquisador de segurança Amit Assaraf também publicou hoje um relatório com descobertas que se sobrepõem, apontando para a mesma atividade.
A campanha compreende 18 extensões maliciosas visando principalmente investidores de criptomoedas e aqueles em busca de ferramentas de produtividade como o Zoom.
No Mercado VSCode, as seguintes extensões foram submetidas:
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoCommunications.Zoom
- ZoomINC.Zoom-Workplace
- Ethereum.SoliditySupport
- ZoomWorkspace.Zoom (três versões)
- ethereumorg.Solidity-Language-for-Ethereum
- VitalikButerin.Solidity-Ethereum (duas versões)
- SolidityFoundation.Solidity-Ethereum
- EthereumFoundation.Solidity-Language-for-Ethereum (duas versões)
- SOLIDITY.Solidity-Language
- GavinWood.SolidityLang (duas versões)
- EthereumFoundation.Solidity-for-Ethereum-Language
No npm, os atores de ameaças carregaram cinco versões do pacote 'etherscancontacthandler' versão 1.0.0 até 4.0.0, coletivamente baixados 350 vezes.
Para aumentar a aparente legitimidade dos pacotes, os atores de ameaças adicionaram avaliações falsas e inflaram seus números de instalação para fazê-los parecer mais confiáveis.
A ReversingLabs diz que todas as extensões tinham a mesma funcionalidade maliciosa e foram projetadas para baixar payloads de segunda etapa ofuscadas de domínios suspeitos.
Dois dos domínios maliciosos escolhidos para aparecer legítimos são 'microsoft-visualstudiocode[.]com' e 'captchacdn[.]com', enquanto outros usaram TLDs como '.lat' e '.ru'.
Nem a ReversingLabs nem Assaraf analisaram o payload de segunda etapa, portanto, suas funções são desconhecidas, mas as bandeiras vermelhas ao redor dela são abundantes.
Descobriu-se que os payloads secundários baixadas por essas extensões do VSCode são arquivos CMD do Windows fortemente ofuscados que iniciam um comando PowerShell oculto.
O comando PowerShell oculto irá descriptografar strings criptografadas em AES em arquivos CMD adicionais para soltar mais payloads no sistema comprometido e executá-las.
Um dos payloads soltas nos testes foi o arquivo %temp%\MLANG.DLL, que é detectado como malicioso por 27/71 motores antivírus no VirusTotal.
Os pesquisadores forneceram uma lista detalhada dos pacotes maliciosos e extensões do VSCode com seus hashes SHA1 no final de seu relatório, para ajudar a identificar e mitigar comprometimentos na cadeia de suprimentos.
Ao baixar os blocos de construção do seu projeto de software, certifique-se de validar a segurança e a legitimidade do código e que não sejam clones de plugins e dependências populares.
Infelizmente, houve vários exemplos recentes de pacotes npm maliciosos que resultaram em comprometimentos altamente prejudiciais na cadeia de suprimentos e extensões do VSCode que visavam senhas de usuários e abriam shells remotos no sistema hospedeiro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...