Siber suçlular, Windows geliştiricilerinin 46.600 kez indirdiği üç kötü niyetli görsel stüdyo uzantısı yükleyerek Microsoft'un VSCode Marketplace'i hedeflemeye başlıyor.
Analistleri kötü niyetli uzantıları keşfeden ve Microsoft'a bildiren Check Point'e göre, kötü amaçlı yazılım, tehdit aktörlerinin kimlik bilgilerini, sistem bilgilerini çalmasını ve kurbanın makinesinde uzak bir kabuk oluşturmasını sağladı.
Uzantılar 4 Mayıs 2023'te keşfedildi ve bildirildi ve daha sonra 14 Mayıs 2023'te VSCode pazarından çıkarıldı.
Bununla birlikte, hala kötü niyetli uzantıları kullanan herhangi bir yazılım geliştiricisi, bunları manuel olarak sistemlerinden çıkarmalı ve enfeksiyonun kalıntılarını tespit etmek için tam bir tarama yapmalıdır.
Visual Studio Code (VSC), Microsoft tarafından yayınlanan ve dünya çapında profesyonel yazılım geliştiricilerinin önemli bir yüzdesi tarafından kullanılan bir kaynak kodu düzenleyicisidir.
Microsoft ayrıca, uygulamanın işlevselliğini genişleten ve daha fazla özelleştirme seçeneği sağlayan 50.000'den fazla eklenti sunan VSCode Marketplace adlı IDE için bir uzantılar pazarı işletiyor.
Check Point araştırmacıları tarafından keşfedilen kötü niyetli uzantılar şunlardır:
'Tema Darcula Dark' - "Dracula Renkleri VS kodunda tutarlılığı iyileştirme girişimi" olarak tanımlanan bu uzantı, geliştiricinin sistemi hakkında ana bilgisayar adı, işletim sistemi, CPU platformu, toplam bellek ve bilgiler dahil olmak üzere temel bilgileri çalmak için kullanıldı. İŞLEMCİ.
Uzatma başka kötü niyetli etkinlik içermese de, bir tema paketiyle ilişkili tipik bir davranış değildir.
Bu uzatma, 45.000'den fazla indirilen en fazla dolaşıma sahipti.
'Python-vscode'-Bu uzatma, iyi bir isme sahip olmanın biraz ilgi çekmek için yeterli olduğunu gösteren 'Testuseracc1111'in boş açıklamasına ve yükleyici adına 1.384 kez indirildi.
Kodunun analizi, kurbanın makinesinde kod veya komutlar yürütebilen bir C# kabuk enjektörü olduğunu gösterdi.
'En Güzel Java'-Uzantının adına ve açıklamasına göre, popüler 'daha güzel-java' kod biçimlendirme aracını taklit etmek için muhtemelen oluşturuldu.
Gerçekte, Discord ve Discord Canary, Google Chrome, Opera, Cesur Tarayıcı ve Yandex tarayıcısından kaydedilmiş kimlik bilgileri veya kimlik doğrulama belirteçleri çaldı ve daha sonra bir Discord Webhook üzerinden saldırganlara gönderildi.
Uzatmanın 278 kurulumu vardı.
Check Point ayrıca, kesin olarak kötü niyetli olarak karakterize edilemeyen, ancak özel depolardan kod almak veya dosyaları indirme gibi güvenli olmayan davranışlar gösteren birden fazla şüpheli uzantı buldu.
NPM ve PYPI gibi kullanıcı katkılarının izin veren yazılım depolarının, tehdit aktörleri için popüler bir hedef haline geldikleri için tekrar tekrar riskli olduğu kanıtlanmıştır.
VSCode Marketplace hedeflenmeye yeni başlarken, Aquasec Ocak ayında VSCODE pazarına kötü niyetli uzantıların yüklenmesinin oldukça kolay olduğunu ve bazı şüpheli vakalar sunduğunu gösterdi. Ancak, herhangi bir kötü amaçlı yazılım bulamadılar.
Check Point tarafından keşfedilen vakalar, tehdit aktörlerinin artık Windows geliştiricilerini, tam olarak NPM ve PYPI gibi diğer yazılım depolarında olduğu gibi kötü amaçlı gönderimlerle aktif olarak kötü amaçlı gönderimlerle bulaşmaya çalıştıklarını göstermektedir.
VSCode Marketplace kullanıcılarının ve kullanıcı destekli tüm depoların kullanıcılarına, yalnızca birçok indirme ve topluluk derecelendirme ile güvenilir yayıncılardan uzantılar yüklemeleri, kullanıcı incelemelerini okuması ve her zaman uzantının kaynak kodunu yüklemeden önce incelemeleri önerilir.
Dikkat etmek için yeni info-açılış kötü amaçlı yazılım operasyonları
Facebook, yeni Dodealer Bilgi Çalma Kötü Yazılımlarını bozar
Yeni Atomik MacOS Info-Dirençli Kötü Yazılım Hedefleri 50 Kripto Cüzdan
Avrupa ve ABD'de Evilextractor kötü amaçlı yazılım etkinlikleri artışları
Typhon Info-Destekar Kötü Yazılım Devs Yükseltme Kaçınma Yetenekleri
Kaynak: Bleeping Computer