Dvije maliciozne ekstenzije na Microsoftovom Visual Studio Code Marketplaceu inficiraju računare developera infostealer malverom koji može praviti snimke ekrana, krasti kredencijale, kripto novčanike i preuzimati kontrolu nad sesijama u brauzeru.
Marketplace hostuje ekstenzije za popularno VSCode razvojno okruženje (IDE) koje proširuju funkcionalnosti ili dodaju opcije prilagođavanja.
Dvije maliciozne ekstenzije, nazvane Bitcoin Black i Codo AI, predstavljaju se kao kolor tema i AI asistent, i objavljene su pod imenom izdavača „BigBlack“.
U trenutku pisanja, Codo AI se i dalje nalazio na marketplaceu, iako je imao manje od 30 preuzimanja. Brojač za Bitcoin Black pokazivao je svega jednu instalaciju.
Prema Koi Securityju, Bitcoin Black ekstenzija sadrži „*“ activation event koji se izvršava na svaku radnju u VSCode-u. Takođe može pokretati PowerShell kod, što tema apsolutno ne treba da radi i odmah predstavlja znak za uzbunu.
U starijim verzijama, Bitcoin Black je koristio PowerShell skriptu da preuzme šifrovanu arhivu s payloadom, što je otvaralo vidljiv PowerShell prozor i moglo upozoriti korisnika.
U novijim verzijama, proces je prebačen na batch skriptu (bat.sh) koja poziva curl da preuzme DLL fajl i izvršnu datoteku, i sve se odvija bez vidljivog prozora.
Idan Dardikman iz Koi Securityja kaže da Codo AI zaista ima funkciju asistencije u kodiranju putem ChatGPT-a ili DeepSeek-a, ali takođe sadrži i maliciozni dio.
Obje ekstenzije isporučuju legitimni Lightshot alat za snimanje ekrana, zajedno sa malicioznim DLL fajlom koji se učitava tehnikom DLL hijackinga kako bi se pokrenuo infostealer pod imenom runtime.exe.
Maliciozni DLL detektuju 29 od 72 antivirusna enginea na VirusTotalu, navodi istraživač u današnjem izvještaju.
Malver kreira direktorijum u „%APPDATA%\Local\“ i pravi folder po imenu Evelyn za skladištenje ukradenih podataka: detalja o pokrenutim procesima, sadržaja clipboarda, WiFi kredencijala, sistemskih informacija, snimaka ekrana, liste instaliranih programa i lista aktivnih procesa.
Da bi ukrao kolačiće i preuzeo korisničke sesije, malver pokreće Chrome i Edge u headless režimu, čime omogućava izvlačenje sačuvanih kolačića i preuzimanje aktivnih sesija.
Malver takođe krade kripto novčanike poput Phantom, Metamask i Exodus, kao i lozinke i druge kredencijale.
Maliciozne VS Code ekstenzije i ranije su se pojavljivale na platformama koje hostuju dodatke za VS Code IDE, poput OpenVSX i samog Visual Studio Codea, a jedna od najpoznatijih kampanja bila je Glassworm.
Developeri mogu smanjiti rizik instaliranjem ekstenzija isključivo od provjerenih i reputabilnih izdavača.
Izvor: BleepingComputer
