Maliciozne VS Code ekstenzije za krađu podataka uklonjene sa službenog Marketplacea

Programeri koji pišu pametne ugovore (posebno za Ethereum) koristeći programski jezik Solidity, bili su meta zlonamjernih VS Code ekstenzija koje instaliraju malver za krađu kredencijale kripto novčanika.

“Na osnovu zajedničke infrastrukture i tehnika obfuskacije, sve tri ekstenzije pripisujemo jednom hakeri (MUT-9332), koji je takođe bio odgovoran za kampanju distribucije Monero rudara putem kompromitovanih VS Code ekstenzija,” objavili su istraživači iz Datadoga.

Otkivena kampanj

Tri maliciozne ekstenzije bile su dostupne za preuzimanje na Visual Studio Code Marketplaceu:

• Solaibot
• among-eth
• blankebesxstnion

Na prvi pogled su izgledale kao legitimne ekstenzije koje pomažu pri analizi sintakse i otkrivanju ranjivosti. Međutim, umjesto da poboljšaju sigurnost, one su je kompromitovale:

Šta su radile?

• Automatski se aktivirale pri pokretanju VS Code-a ili otvaranju .sol (Solidity) fajla
• Preuzimale zlonamjerni fajl koji pokreće višestepeni lanac infekcije:
  • Instalira zlonamjernu ekstenziju u Chromium-bazirane pretraživače (extension.zip)
  • Pokreće izvršnu datoteku myau.exe koja:
    • Traži kripto novčanike i ekstenzije u browserima
    • Snima pritiske na tastaturi (keylogging)
    • Izbjegava detekciju analiziranjem virtuelnih okruženja
    • Ima teško čitljiv (obfuskovan) i zapakovan kod

Daljnja infekcija

Sledeći komponenta, myaunet.exe, služi kao alat za krađu podataka:

• Pretražuje LevelDB datoteke u aplikacijama kao što su:
  • Discord
  • Chromium-based browseri
  • Kripto novčanici
  • Electron aplikacije

Takođe:

• Modifikuje hosts datoteku Windows sistema da blokira konekcije ka:
  • Antivirusevima
  • Sandbox alatima
  • Servisima za prijavu prijetnji
• Dodaje pravilo u Windows Firewall putem netsh, čime blokira izlaznu konekciju prema:
  • Microsoft update serverima
  • Windows Defender zaštiti

Nakon krađe podataka, malver preuzima i pokreće Quasar RAT (alat za daljinski pristup).

Kako se zaštititi?

Prošle godine su istraživači iz Koi Securityja pokazali koliko je lako postaviti zlonamjerne ekstenzije na VS Code Marketplace i zaraziti mnoge korisnike.

Iako su ove tri ekstenzije imale manje od 50 preuzimanja prije uklanjanja, napadi se vjerovatno neće zaustaviti.

“I nakon što su uklonjene sa Marketplacea, akter MUT-9332 je i dalje uređivao međufajlove u lancu infekcije,” kažu iz Datadoga.

Preporuke za korisnike VS Code-a:

1. Provjerite da li ste instalirali neku od maliciozne ekstenzija (Solaibot, among-eth, blankebesxstnion)
2. Skenirajte sistem za sumnjive browser ekstenzije, fajlove (myau.exe, myaunet.exe) i ostale indikatore kompromitacije
3. Preuzimajte ekstenzije samo od poznatih i verifikovanih izdavača
4. Čitajte recenzije i pazite na crvene zastavice (npr. neobična ponašanja, nepoznati autori)
5. Ako je ekstenzija open-source, pregledajte kod prije instalacije
6. Koristite sigurnosne ekstenzije koje mogu upozoriti na rizične dodatke
7. Budite oprezni sa imenom ekstenzije – napadači često koriste “typosquatting” (npr. slično ime kao popularna ekstenzija)

Izvor:Help Net Security