Οι εγκληματίες του κυβερνοχώρου αρχίζουν να στοχεύουν το VSCode Marketplace της Microsoft, έχοντας ανεβάσει τρεις κακόβουλες επεκτάσεις του Visual Studio, τις οποίες οι προγραμματιστές των Windows έχουν κατεβάσει 46.600 φορές.

Δείτε επίσης: Η ScanSource ανακοίνωσε ότι έπεσε θύμα επίθεσης ransomware

Σύμφωνα με την Check Point, οι αναλυτές της οποίας ανακάλυψαν τις κακόβουλες επεκτάσεις και τις ανέφεραν στη Microsoft, το κακόβουλο λογισμικό επέτρεψε στους απειλητικούς φορείς να κλέψουν credentials, πληροφορίες συστήματος και να δημιουργήσουν ένα remote shell στο μηχάνημα του θύματος.

Οι επεκτάσεις ανακαλύφθηκαν και αναφέρθηκαν στις 4 Μαΐου 2021 και στη συνέχεια αφαιρέθηκαν από το VSCode marketplace στις 14 Μαΐου 2021.

Ωστόσο, όσοι προγραμματιστές λογισμικού εξακολουθούν να χρησιμοποιούν τις κακόβουλες επεκτάσεις πρέπει να τις αφαιρέσουν χειροκίνητα από τα συστήματά τους και να εκτελέσουν μια πλήρη σάρωση για να εντοπίσουν τυχόν υπολείμματα της μόλυνσης.

Δείτε επίσης: Ransomware ομάδα ζητά δωρεά για φιλανθρωπικό σκοπό αντί για λύτρα

Κακόβουλες περιπτώσεις στο VSCode Marketplace

Το Visual Studio Code (VSC) είναι ένας επεξεργαστής πηγαίου κώδικα που δημοσιεύεται από τη Microsoft και χρησιμοποιείται από ένα σημαντικό ποσοστό επαγγελματιών προγραμματιστών λογισμικού παγκοσμίως.

Η Microsoft λειτουργεί επίσης μια αγορά επεκτάσεων για το IDE που ονομάζεται VSCode Marketplace, η οποία προσφέρει πάνω από 50.000 πρόσθετα που επεκτείνουν τη λειτουργικότητα της εφαρμογής και παρέχουν περισσότερες επιλογές προσαρμογής.

Οι κακόβουλες επεκτάσεις που ανακάλυψαν οι ερευνητές της Check Point είναι οι εξής:

‘Theme Darcula dark’ – “Περιγράφεται ως “μια προσπάθεια βελτίωσης της συνέπειας των χρωμάτων Dracula στο VS Code”, η επέκταση αυτή χρησιμοποιήθηκε για την κλοπή βασικών πληροφοριών σχετικά με το σύστημα του προγραμματιστή, συμπεριλαμβανομένου του hostname, του λειτουργικού συστήματος, της πλατφόρμας CPU, της συνολικής μνήμης και πληροφοριών σχετικά με την CPU”

Ενώ η επέκταση δεν περιείχε καμία άλλη κακόβουλη δραστηριότητα, δεν είναι τυπική συμπεριφορά που σχετίζεται με ένα πακέτο θεμάτων.

Αυτή η επέκταση είχε μακράν τη μεγαλύτερη κυκλοφορία, καθώς κατέβηκε πάνω από 45.000 φορές.

‘python-vscode’ – Αυτή η επέκταση κατέβηκε 1.384 φορές παρά την κενή περιγραφή και το όνομα του uploader “testUseracc1111”, δείχνοντας ότι ένα καλό όνομα αρκεί για να συγκεντρώσει κάποιο ενδιαφέρον.

Η ανάλυση του κώδικά του έδειξε ότι πρόκειται για ένα C# shell injector, το οποίο μπορεί να εκτελέσει κώδικα ή εντολές στον υπολογιστή του θύματος.

‘prettiest java’ – Με βάση το όνομα και την περιγραφή της επέκτασης, δημιουργήθηκε πιθανότατα για να μιμηθεί το δημοφιλές εργαλείο μορφοποίησης κώδικα “Prettier-Java”.

Στην πραγματικότητα, έκλεψε αποθηκευμένα credentials ή authentication tokens από το Discord και το Discord Canary, το Google Chrome, το Opera, το Brave Browser και το Yandex Browser, τα οποία στη συνέχεια στάλθηκαν στους επιτιθέμενους μέσω ενός webhook του Discord.

Η επέκταση είχε 278 installations.

Η Check Point εντόπισε επίσης πολλές ύποπτες επεκτάσεις, οι οποίες δεν μπορούσαν να χαρακτηριστούν ως κακόβουλες με βεβαιότητα, ωστόσο επέδειξαν μη ασφαλή συμπεριφορά, όπως η ανάκτηση κώδικα από ιδιωτικά αποθετήρια ή η λήψη αρχείων.

Δείτε επίσης: Cisco: Προειδοποιεί για κρίσιμα σφάλματα switch με δημόσιο κώδικα εκμετάλλευσης

Τα software repositories έρχονται με κίνδυνο

Τα software repositories που επιτρέπουν τις συνεισφορές των χρηστών, όπως το NPM και το PyPI, έχουν αποδειχθεί επανειλημμένα ότι η χρήση τους είναι επικίνδυνη, καθώς έχουν γίνει δημοφιλείς στόχοι για τους απειλητικούς φορείς.

Ενώ η αγορά VSCode Marketplace μόλις άρχισε να γίνεται στόχος, η AquaSec απέδειξε τον Ιανουάριο ότι ήταν αρκετά εύκολο να φορτώσει κανείς κακόβουλες επεκτάσεις στο VSCode Marketplace και παρουσίασε μερικές εξαιρετικά ύποπτες περιπτώσεις, ωστόσο δεν μπόρεσε να βρει κακόβουλο λογισμικό.

Οι περιπτώσεις που ανακάλυψε η Check Point αποδεικνύουν ότι οι απειλητικοί φορείς προσπαθούν πλέον ενεργά να μολύνουν τους προγραμματιστές των Windows με κακόβουλες υποβολές, όπως ακριβώς κάνουν και σε άλλα αποθετήρια λογισμικού, όπως το NPM και το PyPI.

Οι χρήστες του VSCode Marketplace και όλων των αποθετηρίων που υποστηρίζονται από τους χρήστες, συνιστάται να εγκαθιστούν επεκτάσεις μόνο από αξιόπιστους εκδότες με πολλές λήψεις και αξιολογήσεις από την κοινότητα, να διαβάζουν κριτικές χρηστών και να ελέγχουν πάντα τον πηγαίο κώδικα της επέκτασης πριν την εγκαταστήσουν.

Πηγή πληροφοριών: bleepingcomputer.com