- 19,438
- 40
- 8 Ноя 2022
Как система безопасности Microsoft пропустила очевидный вредонос.
В онлайн-магазине расширений VSCode Marketplace обнаружены две вредоносные программы, маскировавшиеся под легитимные дополнения. Расширения распространяли тестовую версию программы-вымогателя и оставались незамеченными несколько месяцев.
Расширения «ahban.shiba» и «ahban.cychelloworld» успели скачать соответственно 7 и 8 раз. Первое было опубликовано 17 февраля 2025 года, второе появилось в магазине ещё 27 октября 2024 года. Примечательно, что при добавлении на платформу дополнения сумели полностью обойти процедуры проверки безопасности.
Исследование ReversingLabs показало, что Для просмотра ссылки Войдиили Зарегистрируйся команду PowerShell, которая загружала и запускала скрипт-вымогатель с удалённого сервера Amazon AWS. Зашифровывались лишь файлы в отдельной тестовой папке на рабочем столе пользователя, после чего на экране появлялось предупреждение с требованием оплаты в криптовалюте ShibaCoin. При этом злоумышленники не предусмотрели никаких подробных инструкций или записок с требованиями, характерных для полноценных атак программ-вымогателей.
Вредоносный скрипт PowerShell (@ReversingLabs)
Несмотря на очевидную тестовую природу вредоносного кода, ситуация привела к критике в адрес Microsoft за низкий уровень контроля и безопасности при проверке расширений перед публикацией. В результате расследования Microsoft оперативно удалила оба дополнения, однако выяснилось, что дополнения могли быть удалены гораздо раньше, если бы компания оперативнее реагировала на уведомления от исследователей безопасности.
В компании ExtensionTotal отметили, что 25 ноября 2024 года автоматический сканер предупредил Microsoft о подозрительной активности расширения «ahban.cychelloworld». В первоначальной версии расширения вредоносного кода не было, но во второй версии, загруженной 24 ноября, уже присутствовал зловред. Несмотря на предупреждение, Microsoft проигнорировала сообщение, и впоследствии было принято ещё 5 версий того же расширения, содержащих тот же самый вредоносный код.
Специалисты объясняют отсутствие реакции Microsoft малым количеством загрузок расширений, из-за чего проверка не была приоритетной для компании. Однако подобная ситуация вызывает беспокойство: расширения долгое время могли скачивать и выполнять вредоносные сценарии с удалённого ресурса, не вызывая подозрений у систем безопасности.
В онлайн-магазине расширений VSCode Marketplace обнаружены две вредоносные программы, маскировавшиеся под легитимные дополнения. Расширения распространяли тестовую версию программы-вымогателя и оставались незамеченными несколько месяцев.
Расширения «ahban.shiba» и «ahban.cychelloworld» успели скачать соответственно 7 и 8 раз. Первое было опубликовано 17 февраля 2025 года, второе появилось в магазине ещё 27 октября 2024 года. Примечательно, что при добавлении на платформу дополнения сумели полностью обойти процедуры проверки безопасности.
Исследование ReversingLabs показало, что Для просмотра ссылки Войди
Вредоносный скрипт PowerShell (@ReversingLabs)
Несмотря на очевидную тестовую природу вредоносного кода, ситуация привела к критике в адрес Microsoft за низкий уровень контроля и безопасности при проверке расширений перед публикацией. В результате расследования Microsoft оперативно удалила оба дополнения, однако выяснилось, что дополнения могли быть удалены гораздо раньше, если бы компания оперативнее реагировала на уведомления от исследователей безопасности.
В компании ExtensionTotal отметили, что 25 ноября 2024 года автоматический сканер предупредил Microsoft о подозрительной активности расширения «ahban.cychelloworld». В первоначальной версии расширения вредоносного кода не было, но во второй версии, загруженной 24 ноября, уже присутствовал зловред. Несмотря на предупреждение, Microsoft проигнорировала сообщение, и впоследствии было принято ещё 5 версий того же расширения, содержащих тот же самый вредоносный код.
Специалисты объясняют отсутствие реакции Microsoft малым количеством загрузок расширений, из-за чего проверка не была приоритетной для компании. Однако подобная ситуация вызывает беспокойство: расширения долгое время могли скачивать и выполнять вредоносные сценарии с удалённого ресурса, не вызывая подозрений у систем безопасности.
- Источник новости
- www.securitylab.ru
