- 19,438
- 40
- 8 Ноя 2022
Анатомия новой атаки от фейковых отзывов до троянов.
На платформе VSCode Marketplace выявлены вредоносные расширения, которые использовались для атак на разработчиков и проекты, связанные с криптовалютами. Для просмотра ссылки Войдиили Зарегистрируйся ReversingLabs показало, что данные расширения Для просмотра ссылки Войди или Зарегистрируйся в октябре 2024 года. Они были частью целенаправленной кампании, направленной на компрометацию цепочек поставок.
Кампанию составили 18 различных расширений, которые маскировались под инструменты для разработчиков, инвесторов в криптовалюты и пользователей популярного ПО. Для придания расширениям видимости легитимности авторы атак добавляли поддельные отзывы и искусственно увеличивали число установок.
Искусственно завышенное число установок (слева) и фейковые отзывы (справа) (ReversingLabs)
Среди вредоносных дополнений были:
Исследователь по вопросам безопасности Амит Ассараф также Для просмотра ссылки Войдиили Зарегистрируйся отчет, указывающий на ту же активность.
Пользователь VSCode стал жертвой вредоносного расширения Для просмотра ссылки Войдиили Зарегистрируйся
Механизм действия
Все вредоносные расширения обладали одинаковым функционалом. Их задача заключалась в загрузке вторичных полезных нагрузок, которые скрывались за сложной обфускацией. Для связи с сервером использовались подозрительные домены, такие как:
или Зарегистрируйся определили как вредоносный.
Эксперты напоминают о важности проверки безопасности и легитимности всех загружаемых компонентов. Ранее неоднократно фиксировались случаи, когда вредоносные npm-пакеты или расширения для VSCode использовались для получения доступа к паролям, установления удалённых соединений или запуска вредоносного ПО. Внимательность при установке новых инструментов может предотвратить серьёзные инциденты в цепочках поставок и минимизировать возможные риски.
В июне Для просмотра ссылки Войдиили Зарегистрируйся на рынке расширений Visual Studio Code, успешно «заразив» более 100 организаций путём внедрения вредоносного кода в расширение-клон популярной темы интерфейса «Dracula Official». Специалисты также обнаружили тысячи расширений с миллионами установок, содержащих скрытые риски для безопасности.
На платформе VSCode Marketplace выявлены вредоносные расширения, которые использовались для атак на разработчиков и проекты, связанные с криптовалютами. Для просмотра ссылки Войди
Кампанию составили 18 различных расширений, которые маскировались под инструменты для разработчиков, инвесторов в криптовалюты и пользователей популярного ПО. Для придания расширениям видимости легитимности авторы атак добавляли поддельные отзывы и искусственно увеличивали число установок.
Искусственно завышенное число установок (слева) и фейковые отзывы (справа) (ReversingLabs)
Среди вредоносных дополнений были:
- «EVM.Blockchain-Toolkit»;
- «VoiceMod.VoiceMod»;
- «ZoomVideoCommunications.Zoom»;
- «Ethereum.SoliditySupport»;
- «VitalikButerin.Solidity-Ethereum» и другие.
Исследователь по вопросам безопасности Амит Ассараф также Для просмотра ссылки Войди
Пользователь VSCode стал жертвой вредоносного расширения Для просмотра ссылки Войди
Механизм действия
Все вредоносные расширения обладали одинаковым функционалом. Их задача заключалась в загрузке вторичных полезных нагрузок, которые скрывались за сложной обфускацией. Для связи с сервером использовались подозрительные домены, такие как:
- «microsoft-visualstudiocode[.]com»;
- «captchacdn[.]com»;
- ресурсы с доменными зонами «.lat» и «.ru».
Эксперты напоминают о важности проверки безопасности и легитимности всех загружаемых компонентов. Ранее неоднократно фиксировались случаи, когда вредоносные npm-пакеты или расширения для VSCode использовались для получения доступа к паролям, установления удалённых соединений или запуска вредоносного ПО. Внимательность при установке новых инструментов может предотвратить серьёзные инциденты в цепочках поставок и минимизировать возможные риски.
В июне Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
