Злонамерни VSCode екстензии на регистарот на Microsoft поставуваат крадци на информации

Две злонамерни екстензии на пазарот на Visual Studio Code (VSCode Marketplace) на Microsoft ги инфицираат машините на програмерите со малициозен софтвер за кражба на информации (infostealers) кој може да прави скриншотови, да краде акредитиви, крипто-паричници и да презема контрола врз сесиите на прелистувачот.

Пазарот хостира екстензии за популарната интегрирана развојна средина (IDE) VSCode за проширување на функционалноста или додавање опции за прилагодување.

Двете злонамерни екстензии, наречени Bitcoin Black и Codo AI, се маскираат како колоритна тема и АИ-асистент, соодветно, и се објавени под името на развивачот ‘BigBlack’.

Во моментот на пишувањето, Codo AI сѐ уште беше присутен на пазарот, иако имаше помалку од 30 преземања. Бројачот на Bitcoin Black покажуваше само една инсталација.

Според Koi Security, злонамерната екстензија Bitcoin Black има настан за активирање „*“ (ѕвездичка) што се извршува при секоја акција во VSCode. Исто така, може да извршува PowerShell код, нешто што една тема не ѝ треба и што треба да претставува црвено знаме (red flag).

Во постарите верзии, Bitcoin Black користел PowerShell скрипта за преземање на архивирана носивост заштитена со лозинка, што создавало видлив PowerShell прозорец и можело да го предупреди корисникот.

Меѓутоа, во поновите верзии, процесот е променет на batch скрипта (bat.sh) која повикува „curl“ за да преземе DLL датотека и извршна датотека (executable), а активноста се случува со скриен прозорец.

Idan Dardikman од Koi Security вели дека Codo AI има функционалност за помош при кодирање преку ChatGPT или DeepSeek, но исто така вклучува и злонамерен дел.

Двете екстензии испорачуваат легитимна извршна датотека од алатката за сликање екран Lightshot и злонамерна DLL датотека која се вчитува преку техниката киднапирање на DLL (DLL hijacking) за да се распореди крадецот на информации (infostealer) под името runtime.exe.

Злонамерната DLL датотека е означена како закана од 29 од 72 антивирусни машини на Virus Total, забележува истражувачот во денешниот извештај.

Малициозниот софтвер креира директориум во ‘%APPDATA%\Local’ и креира директориум наречен Evelyn за да ги складира украдените податоци: детали за активните процеси, содржината на таблата со исечоци (clipboard content), WiFi акредитиви, системски информации, слики од екранот, листа на инсталирани програми и активни процеси.

За да украде колачиња (cookies) и да ги киднапира корисничките сесии, малициозниот софтвер ги стартува прелистувачите Chrome и Edge во безглав режим (headless mode) за да може да ги украде зачуваните колачиња и да ги киднапира корисничките сесии.

Малициозниот софтвер исто така краде криптовалутни паричници како што се Phantom, Metamask, Exodus. Бара лозинки и акредитиви.

BleepingComputer го контактираше Microsoft во врска со присуството на екстензиите на пазарот, но коментар не беше веднаш достапен.

Злонамерни VS Code екстензии се пласирани на платформи кои обезбедуваат екстензии со VS Code IDE, како што се OpenVSX и Visual Studio Code, при што една од најзначајните кампањи е Glassworm.

Програмерите можат да ги минимизираат ризиците од злонамерни VSCode екстензии со инсталирање на проекти само од реномирани издавачи.

Надградба 12.9 – Портпарол на Microsoft сега потврди за BleepingComputer дека двете злонамерни екстензии се отстранети од VSCode Market.

Извори:

• Bleeping Computer– Malicious VSCode extensions on Microsoft’s registry drop infostealers Bleeping Computer