在 VSCode 市场上发现了恶意的 Visual Studio Code 扩展,这些扩展会下载经过高度混淆的 PowerShell 负载,以在供应链攻击中瞄准开发人员和加密货币项目。
在 Reversing Labs 的一份报告中,研究人员表示,这些恶意扩展于 10 月份首次出现在 VSCode 市场上。
Reversing Labs 的报告中写道:“整个 2024 年 10 月,RL 研究团队发现新一波包含下载器功能的恶意 VSCode 扩展——它们都是同一次活动的一部分。”
“社区在10 月初首次获悉此活动的开展 ,从那时起,团队就一直坚定地跟踪它。”
在 NPM 上发现了针对加密社区和本次活动一部分的附加软件包。
安全研究员阿米特·阿萨拉夫 (Amit Assaraf) 今天也发布了一份有重叠发现的报告,指出了同一项活动。
恶意 VSCode 扩展
该活动包含 18 个恶意扩展,主要针对加密货币投资者和那些寻求 Zoom 等生产力工具的人。
在 VSCode 市场上,已提交以下扩展:
-
EVM.Blockchain-Toolkit
-
VoiceMod.VoiceMod
-
ZoomVideoCommunications.Zoom
-
ZoomINC.Zoom-Workplace
-
Ethereum.SoliditySupport
-
ZoomWorkspace.Zoom (three versions)
-
ethereumorg.Solidity-Language-for-Ethereum
-
VitalikButerin.Solidity-Ethereum (two versions)
-
SolidityFoundation.Solidity-Ethereum
-
EthereumFoundation.Solidity-Language-for-Ethereum (two versions)
-
SOLIDITY.Solidity-Language
-
GavinWood.SolidityLang (two versions)
-
EthereumFoundation.Solidity-for-Ethereum-Languag
在 npm 上,威胁行为者上传了五个版本的“etherscancontacthandler”软件包,从 1.0.0 到 4.0.0,总共下载了 350 次。
为了增加软件包的合法性,威胁行为者添加了虚假评论并夸大了安装数量,以使它们看起来更值得信赖。
ReversingLabs 表示,所有扩展都具有相同的恶意功能,旨在从可疑域下载混淆的第二阶段有效负载。
其中两个看似合法的恶意域名是“microsoft-visualstudiocode[.]com”和“captchacdn[.]com”,而其他域名则使用了“.lat”和“.ru”等顶级域名。
ReversingLabs 和 Assaraf 都没有分析第二阶段的有效载荷,因此其功能尚不清楚,但围绕它的危险信号却很多。
BleepingComputer 发现这些 VSCode 扩展下载的辅助有效负载是经过高度混淆的 Windows CMD 文件,可启动隐藏的 PowerShell 命令。
隐藏的 PowerShell 命令将解密其他 CMD 文件中的 AES 加密字符串,以在受感染的系统上投放进一步的有效负载并执行它们。
BleepingComputer 测试中投放的有效载荷之一是 %temp%MLANG.DLL 文件,该文件在 27/71 个防病毒引擎中被VirusTotal检测为恶意文件。
研究人员在报告底部提供了恶意软件包和 VSCode 扩展的详细列表及其 SHA1 哈希值,以帮助识别和减轻供应链危害。
下载软件项目的构建块时,请务必验证代码的安全性和合法性,并确保它们不是流行插件和依赖项的克隆。
不幸的是,最近出现了多个恶意 npm 包的例子,导致供应链受到严重破坏,VSCode 扩展也遭遇攻击,攻击目标是用户密码并在主机系统上打开远程 shell 。
https://www.bleepingcomputer.com/news/security/malicious-microsoft-vscode-extensions-target-devs-crypto-community/
原文始发于微信公众号(独眼情报):恶意 Microsoft VSCode 扩展针对开发人员和加密社区
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论