Вредоносные расширения для Visual Studio Code (VS Code) были обнаружены на VS Code Marketplace, что свидетельствует о расширении масштабов атак с открытым исходным кодом. Команда исследователей ReversingLabs обнаружила несколько вредоносных расширений, созданных для кражи конфиденциальной информации. Замечено, что количество атак на цепочки поставок в публичных репозиториях возросло на 1300% за последние несколько лет.
Вредоносные расширения были удалены из VS Code Marketplace, но они были просты по конструкции и использовали код, заимствованный из руководств Microsoft по написанию расширений VS Code. Исходный код предыдущих вредоносных кампаний VS Code больше напоминал вредоносный код, используемый на других платформах с открытым исходным кодом, таких как npm. Однако новые расширения использовали иной код, который был опубликован Microsoft.
Одно из обнаруженных вредоносных расширений называется "clipboard-helper-vscode". Оно предлагалось как расширение для расширения функциональности буфера обмена в VS Code, но на самом деле было создано для кражи данных. В файле расширения была обнаружена строка Discord webhook, что вызвало тревогу. Вредоносные расширения были удалены из VS Code Marketplace.
Indicators of Compromise
SHA1
- 14f4a6f3e872c3367e6ddec16a2b183176a091c8
- 3aac5b632e1ab6802f58237aeaaf5d0a6d491a44
- c02663d6c042f191c4d60789b068916469afbf3c
- c26fd1f6c993c6340712de86ec2b11f2f5e0535a
- c8e2bbd712de025620720d0febab02cfbb97f4bf
- edf04024c6e0a8927f04a26edcde4374b365e16d