Вредоносные кампании распространяются от VSCode до npm

security IOC

Исследователи ReversingLabs обнаружили смещение вредоносной активности из Visual Studio Code (VSCode) Marketplace в сообщество npm, первоначально нацеленное на криптовалютное сообщество и разработчиков, использующих VSCode. Злоумышленники используют скомпрометированные пакеты npm для распространения вредоносного ПО непосредственно в среде VSCode.

Описание

Изначально появившись на VSCode Marketplace, эта вредоносная кампания распространилась на npm в ноябре 2024 года, повторяя предыдущие вредоносные расширения VSCode. Эти расширения рекламировались как «поддержка языка Solidity для Visual Studio Code» и содержали обфусцированный JavaScript-код, что побудило ReversingLabs провести дальнейшее расследование. Пакет npm под названием «etherscancontracthandler» был опубликован в пяти различных версиях, причем три из них содержали обфусцированную вредоносную полезную нагрузку. Расширения и npm-пакеты включали в себя функции загрузчика, которые использовались для доставки полезной нагрузки второго этапа из нескольких доменов, некоторые из которых были созданы для имитации легитимных конечных точек, например, тех, которые казались связанными с Microsoft Visual Studio Code.

Кампания подчеркивает риски, связанные с установкой плагинов и расширений в интегрированных средах разработки (IDE), таких как VSCode, поскольку они могут служить точками входа для дальнейших компрометаций в цикле разработки. Эти пакеты могут быть включены в другие пакеты npm и расширения VSCode, расширяя поверхность атаки. Кампания была направлена на криптовалютное сообщество, но к концу октября опубликованные расширения в основном выдавали себя за приложение Zoom. Кроме того, каждое вредоносное расширение имело сфабрикованные отзывы от своих авторов для придания достоверности.

Indicators of Compromise

SHA1

  • 025daf1d161f0dc30280359b4ff2731b6458715e
  • 0289c2bc1c9e10bc053ef25d151793e327a8f714
  • 0d5710de0832f2c3667536fc3d808642e6593a27
  • 11d432d5d6d8792900e31371db4380a9ac9eb984
  • 1f8ead255e26a57e7b6c4b211ace51a7788d5698
  • 44c5170aba403943fa054432852f3c1a00178311
  • 5312be1dbfd1b2dd2ba15d05b4e607c4bde533b4
  • 5390a60adfd8dbf5aef4e132e8565659518ef995
  • 53c4207325d46bfad2c39111fc6ce79d0274f031
  • 53f7be3adec90f264592113d9fff98829d8c2fdd
  • 5ae998a23d7aacd4faf9f42a92bd4d9b2b598ddd
  • 5e524e3f5b59b2ddd9072d63d60cc324d7bbfee1
  • 6da24384853e68cc80107f8b87a185b1cd45f93d
  • 6f2d90229f8d3a20af51fc7d20dbcc02342b3d3e
  • 8d224808b2f10a40277410efd92246712e827bee
  • b1f8c2cce439863b9a4bd0a41c9b356cc93de930
  • b9544c0bd0a1da21f2f048673c214795312c636c
  • c7f67ff39917a8f22da34fdeb4a0c1915db2ad10
  • cdc2389f62f40773fc196f26fbc73d7607ef71d6
  • db03d411690a977d24255311379cb52ff4c6fb6f
  • e114543341a47477f325098008a099ec688831e4
  • e950ead90af29948e1b0b19b4bdf65821648aeeb
  • f2c8e3fbaa7c398f8678ab5cfb2c6b2d9124641e
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий