В маркетплейсе VS Code обнаружено вредоносное расширение, маскирующееся под популярную тему иконок

Обнаружение произошло в ходе планового сканирования артефактов с использованием системы THOR Thunderstorm, развернутой в Docker-контейнерах. Данная система специально разработана для анализа миллионов файлов из различных экосистем, включая Docker Hub, PyPI, NPM и маркетплейс расширений VS Code. Особенностью подхода является способность эффективно выявлять замаскированные полезные нагрузки (payload), обратные оболочки и обфусцированный JavaScript-код, которые часто пропускаются традиционными антивирусными решениями.

Внутри пакета расширения версии 5.29.1 исследователи обнаружили два исполняемых файла, написанных на языке Rust. Один файл представлял собой Mach-O-бинар для macOS, другой - PE-файл для Windows. Оба зловреда располагались по пути icon-theme-materiall.5.29.1/extension/dist/extension/desktop/, что совершенно нехарактерно для легальных расширений тем оформления.

Примечательно, что предыдущая версия расширения (5.29.0) не содержала вредоносных компонентов. Обновление с имплантами было выпущено 28 ноября 2025 года в 11:34 по центральноевропейскому времени. Анализ строк в бинарных файлах выявил сходство с образцами, ассоциирующимися с группировкой GlassWorm, о которой ранее сообщала компания Koi.

Эксперты подчеркивают, что это классический пример атаки на цепочку поставок программного обеспечения. Злоумышленники используют популярность легальных проектов для распространения вредоносного кода. В данном случае целью стала одна из самых популярных тем оформления для VS Code, созданная Филиппом Кифом.

На момент публикации новости вредоносное расширение всё ещё оставалось доступным в маркетплейсе, однако исследователи уже уведомили Microsoft о находке. Ожидается, что компания оперативно удалит опасный пакет из магазина расширений.

Данный инцидент демонстрирует важность непрерывного мониторинга программных экосистем. Современные системы защиты должны уметь анализировать не только известные угрозы, но и выявлять подозрительные паттерны в обфусцированном коде. Особенно актуально это для платформ с открытой регистрацией публикаций, где злоумышленники могут относительно легко размещать маскирующиеся под легитимные проекты пакеты.

Пользователям VS Code рекомендуется проявлять осторожность при установке расширений. Следует проверять репутацию издателя, количество установок и историю обновлений. Также важно обращать внимание на мелкие детали в названиях пакетов, поскольку злоумышленники часто используют опечатки и схожие по написанию наименования для обмана пользователей.

Исследователи продолжают анализ обнаруженных имплантов и работают над установлением всех деталей атаки. Особое внимание уделяется механизмам обеспечения постоянства (persistence) и функциональным возможностям вредоносных компонентов. Дополнительная информация будет опубликована по завершении комплексного исследования.

Ссылки

• https://marketplace.visualstudio.com/items?itemName=Iconkieftwo.icon-theme-materiall

SHA256

• 0878f3c59755ffaf0b639c1b2f6e8fed552724a50eb2878c3ba21cf8eb4e2ab6
• 6ebeb188f3cc3b647c4460c0b8e41b75d057747c662f4cd7912d77deaccfd2f2
• fb07743d139f72fca4616b01308f1f705f02fda72988027bc68e9316655eadda