Cтало известно о масштабной киберкампании, затронувшей два крупнейших маркетплейса расширений для VS Code - официальный Visual Studio Code Marketplace и Open VSX. По данным экспертов Koi Security, злоумышленникам удалось распространить вредоносные расширения, которые в совокупности были скачаны почти 3 миллиона раз. Хотя значительная часть этих загрузок могла быть искусственно накручена, тысячи пользователей по всему миру уже могли стать жертвами атаки.
Описание
Атака была направлена в первую очередь на блокчейн-разработчиков, что видно по выбору названий расширений. Вредоносные пакеты маскировались под инструменты для работы с Solidity (языком смарт-контрактов Ethereum) и даже выдавали себя за проекты, связанные с основателями Ethereum Виталиком Бутериным и Чарльзом Хоскинсоном. Это классический пример социальной инженерии: разработчики, работающие с криптовалютами, часто являются ценными целями из-за доступа к финансовым активам и закрытым репозиториям.
Как выяснили исследователи, все вредоносные расширения следовали одному и тому же сценарию. После установки они запускали скрытый PowerShell-скрипт, который загружал и выполнял дополнительные вредоносные модули. Один из ключевых элементов атаки - использование легитимного инструмента ScreenConnect (разработанного компанией ConnectWise) для удаленного доступа. Злоумышленники проверяли, установлен ли ScreenConnect на компьютере жертвы, и, если нет, загружали модифицированную версию, которая открывала доступ к системе.
Особенно тревожным является тот факт, что расширения успешно прошли проверку на обоих маркетплейсах, несмотря на откровенно вредоносный код. Это говорит о серьезных пробелах в системах автоматической верификации. Например, в одном из расширений исследователи обнаружили забытый злоумышленниками Python-скрипт, который имитировал скачивания, искусственно завышая статистику популярности пакета. Подобные методы позволяют зловредным расширениям быстро попадать в топы магазинов, увеличивая вероятность загрузки доверчивыми пользователями.
Анализ доменов, использовавшихся для доставки вредоносного ПО, показал, что большинство из них было зарегистрировано незадолго до начала кампании. Например, angelic.su и lmfao.su - оба на доменной зоне .su, которая исторически привлекает злоумышленников из-за слабого регулирования. Загруженные файлы передавались по зашифрованным соединениям, что затрудняло их обнаружение стандартными средствами защиты.
Эксперты рекомендуют разработчикам ПО и корпоративным ИТ-отделам усилить контроль за установкой расширений, а также рассмотреть возможность внедрения специализированных решений для анализа безопасности стороннего кода. В противном случае подобные атаки могут привести к масштабным утечкам данных и финансовым потерям.
Индикаторы компрометации
Domains
- angelic.su
- lmfao.su
SHA256
- 33a0069309c3f131c05ab86d2e4ceb10143fd9f02a8c30d5c58011b700ea97c1
- 6f100006724d137e21a332ed5582657f9a694b7f569d92894eed28b7c4514e6c
- 9fd97eeebe80e8c4418ed07a2e13fc2b1e28a14482818bf2b90770bf78eefc0c
Extension Identifiers
- CharlesHoskinson.lfamnw1
- EthersFoundation.bogitiy
- vitalybuterin.hardhatjs
- solidityai.solidity
- soliditysupport.solid
