Исследователи ReversingLabs обнаружили смещение вредоносной активности из Visual Studio Code (VSCode) Marketplace в сообщество npm, первоначально нацеленное на криптовалютное сообщество и разработчиков, использующих VSCode. Злоумышленники используют скомпрометированные пакеты npm для распространения вредоносного ПО непосредственно в среде VSCode.
Описание
Изначально появившись на VSCode Marketplace, эта вредоносная кампания распространилась на npm в ноябре 2024 года, повторяя предыдущие вредоносные расширения VSCode. Эти расширения рекламировались как «поддержка языка Solidity для Visual Studio Code» и содержали обфусцированный JavaScript-код, что побудило ReversingLabs провести дальнейшее расследование. Пакет npm под названием «etherscancontracthandler» был опубликован в пяти различных версиях, причем три из них содержали обфусцированную вредоносную полезную нагрузку. Расширения и npm-пакеты включали в себя функции загрузчика, которые использовались для доставки полезной нагрузки второго этапа из нескольких доменов, некоторые из которых были созданы для имитации легитимных конечных точек, например, тех, которые казались связанными с Microsoft Visual Studio Code.
Кампания подчеркивает риски, связанные с установкой плагинов и расширений в интегрированных средах разработки (IDE), таких как VSCode, поскольку они могут служить точками входа для дальнейших компрометаций в цикле разработки. Эти пакеты могут быть включены в другие пакеты npm и расширения VSCode, расширяя поверхность атаки. Кампания была направлена на криптовалютное сообщество, но к концу октября опубликованные расширения в основном выдавали себя за приложение Zoom. Кроме того, каждое вредоносное расширение имело сфабрикованные отзывы от своих авторов для придания достоверности.
Indicators of Compromise
SHA1
- 025daf1d161f0dc30280359b4ff2731b6458715e
- 0289c2bc1c9e10bc053ef25d151793e327a8f714
- 0d5710de0832f2c3667536fc3d808642e6593a27
- 11d432d5d6d8792900e31371db4380a9ac9eb984
- 1f8ead255e26a57e7b6c4b211ace51a7788d5698
- 44c5170aba403943fa054432852f3c1a00178311
- 5312be1dbfd1b2dd2ba15d05b4e607c4bde533b4
- 5390a60adfd8dbf5aef4e132e8565659518ef995
- 53c4207325d46bfad2c39111fc6ce79d0274f031
- 53f7be3adec90f264592113d9fff98829d8c2fdd
- 5ae998a23d7aacd4faf9f42a92bd4d9b2b598ddd
- 5e524e3f5b59b2ddd9072d63d60cc324d7bbfee1
- 6da24384853e68cc80107f8b87a185b1cd45f93d
- 6f2d90229f8d3a20af51fc7d20dbcc02342b3d3e
- 8d224808b2f10a40277410efd92246712e827bee
- b1f8c2cce439863b9a4bd0a41c9b356cc93de930
- b9544c0bd0a1da21f2f048673c214795312c636c
- c7f67ff39917a8f22da34fdeb4a0c1915db2ad10
- cdc2389f62f40773fc196f26fbc73d7607ef71d6
- db03d411690a977d24255311379cb52ff4c6fb6f
- e114543341a47477f325098008a099ec688831e4
- e950ead90af29948e1b0b19b4bdf65821648aeeb
- f2c8e3fbaa7c398f8678ab5cfb2c6b2d9124641e