В конце ноября 2025 года аналитики по кибербезопасности обнаружили цепочку вредоносных атак, нацеленных на разработчиков программного обеспечения. Атака началась с публикации вредоносного расширения на официальном маркетплейсе Visual Studio Code и привела к развертыванию многофункционального удаленного доступа OctoRAT.
Описание
Исследование показало, что злоумышленник использовал учетную запись на GitHub с именем "biwwwwwwwwwww" и репозиторием под названием "vscode" для хранения вредоносных скриптов. С этого ресурса осуществлялась доставка первого этапа атаки. Конечной целью было создание ботнета для кражи данных и полного контроля над системами жертв.
Имперсонирование популярного инструмента как точка входа
20 ноября 2025 года на официальном маркетплейсе расширений для VSCode появился пакет под названием "prettier‑vscode‑plus", выдававший себя за легитимный инструмент форматирования кода Prettier. Издателем значился аккаунт "publishingsofficial". Расширение было удалено в течение четырех часов, но успело получить несколько установок. Оно служило точкой входа в сложную цепочку вредоносного ПО.
Атака строилась по модели компрометации цепочки поставок, эксплуатируя доверие разработчиков к экосистеме инструментов. Злоумышленники рассчитывали, что их поддельный пакет будет установлен в средах, содержащие критически важные активы: исходный код, ключи доступа и учетные данные.
Многоступенчатая цепочка вредоносного ПО
После установки поддельного расширения активировался сложный многоэтапный процесс:
Первый этап использовал VBScript-дроппер, который создавал временный PowerShell-скрипт. Этот скрипт содержал зашифрованный с помощью AES-256 полезный груз, который выполнялся непосредственно в памяти, что затрудняет обнаружение файлов на диске. После выполнения дроппер удалял временные файлы.
Затем в дело вступал загрузчик Anivia, написанный на C#. Его основной функцией было расшифровывание следующего этапа - самой программы-шпиона OctoRAT. Для скрытного выполнения Anivia использовал технику "процессного халлоуинга" (process hollowing), внедряя свой код в легитимный процесс компилятора Visual Basic ("vbc.exe"). Это позволило вредоносному коду маскироваться под доверенный системный компонент.
OctoRAT: швейцарский нож для кибершпионажа
Финальным этапом стал запуск OctoRAT - полнофункционального инструмента удаленного доступа (RAT). Этот .NET-модуль предоставляет злоумышленникам более 70 различных команд для тотального контроля над системой.
Ключевые возможности OctoRAT включают удаленное управление рабочим столом с потоковой передачей видео, кражу данных из браузеров (пароли, историю, cookies), поиск и извлечение файлов криптовалютных кошельков, а также перехват ввода с клавиатуры. Для обеспечения устойчивости в системе OctoRAT создает запланированную задачу в Планировщике Windows с названием "WindowsUpdate", которая запускает вредонос каждую минуту.
Модуль также содержит функции для эскалации привилегий, в том числе использование известной уязвимости FodHelper для обхода контроля учетных записей (UAC), и может отключать брандмауэр Windows. Примечательно, что в арсенале есть и "функции harassment" - например, блокировка ввода, вращение экрана или открытие CD-привода, что указывает на возможное использование инструмента менее технически подкованными злоумышленниками.
Инфраструктура управления и обнаружение
Аналитикам удалось обнаружить веб-панели управления ботнетом под названием "OctoRAT Center". Сканирование интернета выявило несколько активных серверов командования и управления (C2), размещенных у различных хостинг-провайдеров. Интересно, что на некоторых серверах использовался один и тот же TLS-сертификат, что позволило исследователям выявить целые кластеры связанной инфраструктуры злоумышленников.
Рекомендации по защите
Эксперты рекомендуют организациям усилить мониторинг действий, связанных с установкой расширений в средах разработки. Ключевыми индикаторами компрометации могут быть установка подозрительных пакетов, запуск процесса "vbc.exe" с необычной сетевой активностью или цепочки выполнения VBScript, запускающие PowerShell с параметрами обхода политик безопасности. Также следует блокировать доступ к известным адресам C2-серверов и отслеживать сетевые соединения на нестандартные порты, такие как 8000 или 7777.
Данный инцидент подчеркивает растущую изощренность атак на цепочки поставок программного обеспечения. Злоумышленники целенаправленно выбирают в качестве цели разработчиков, чьи системы часто содержат высокоценные активы и доступ к критической инфраструктуре. Защита таких сред требует комплексного подхода, сочетающего технический контроль, постоянный мониторинг и повышение осведомленности пользователей.
Индикаторы компрометации
IPv4 Port Combinations
- 158.94.210.52:8000
- 158.94.210.76:8000
- 178.16.55.109:8000
- 51.178.245.127:8000
- 51.38.250.193:7777
- 51.38.250.193:8000
- 91.206.169.80:8000
SHA256
- 360e6f2288b6c8364159e80330b9af83f2d561929d206bc1e1e5f1585432b28f
- 9a870ca9b0a47c5b496a6e00eaaa68aec132dd0b778e7a1830dadf1e44660feb
- b8bc4a9c9cd869b0186a1477cfcab4576dfafb58995308c1e979ad3cc00c60f2
- f4e5b1407f8a66f7563d3fb9cf53bae2dc3b1f1b93058236e68ab2bd8b42be9d
SHA-256 fingerprint
- 279F7AB5979E82CAA75AC4D7923EE1F3D76FE8C3EDC6CC124D619A8F7441EB5E
