Хакеры используют вредоносные расширения Microsoft VSCode для кражи паролей
18 мая 2023 г.Исследователи по кибербезопасности из Check Point обнаружили несколько вредоносных расширений Visual Studio, размещенных в Microsoft VSCode Marketplace.
Эти расширения, называемые «Тема Darcula dark», python-vscode и «Самая красивая Java», были каждое притворялись полезными для разработчиков Visual Studio Code, но на самом деле занимались всевозможными гадостями. Тема Darcula dark крала базовую информацию о системе, python-vscode позволял удаленно выполнять код на зараженной конечной точке, а самая красивая java крала (выдавая себя надстройкой "pretty java"), сохраненные учетные данные или токены аутентификации из Discord и Discord Canary, Google Chrome, Opera, Brave Browser и Яндекс.Браузер. вредоносное ПО позже эксфильтрирует его с помощью веб-перехватчика Discord.
В совокупности эти три вредоносное ПО было загружено 46 600 раз, хотя среди трех тем Тема Darcula dark абсолютно доминировала с более чем 45 000 загрузок.
Атаки на цепочку поставок
Исследователи предупредили Microsoft 4 мая этого года, и компания удалила их десятью днями позже, 14 мая. Важно отметить, что хотя удаление вредоносного ПО из репозитория действительно защищает разработчиков от будущих загрузок, те, которые скачали вредоносное ПО в прошлом останется уязвимым до тех пор, пока они не удалят инструменты из своих систем и не запустят антивирусное сканирование, чтобы удалить все остатки.
Visual Studio Code (VSC) — это редактор исходного кода Microsoft, которым пользуется «значительный процент» профессиональных разработчиков программного обеспечения по всему миру. VSCode Marketplace — это рынок расширений, управляемый софтверным гигантом из Редмонда, на котором предположительно размещено более 50 000 надстроек, которые различными способами улучшают функциональность VSC.
> Обнаружено больше пакетов PyPI, крадущих данные
Несмотря на то, что эти три были явно вредоносными, исследователи Check Point обнаружили более сомнительные надстройки, которые демонстрировали небезопасное поведение, но не могли быть однозначно классифицированы как вредоносные. Некоторые из таких действий включали захват кода из частных репозиториев или загрузку файлов. Атаки на цепочку поставок в наши дни очень популярны среди злоумышленников, а репозитории с открытым исходным кодом — привлекательная цель. Другие репозитории, такие как PyPI, например, ежедневно подвергаются бомбардировке вредоносными пакетами. Через: BleepingComputer
> Вредоносные пакеты PyPi превращают Discord в вредоносное ПО для кражи паролей
> Познакомьтесь с лучшими брандмауэрами прямо сейчас
Оригинал