发现两个恶意 VSCode Marketplace 扩展部署了正在开发中的勒索软件,暴露了微软审查过程中的严重漏洞。
这两个扩展程序名为“ahban.shiba”和“ahban.cychelloworld”,分别被下载了七次和八次,最终被从商店中删除。
值得注意的是,这些扩展于 2024 年 10 月 27 日(ahban.cychelloworld)和 2025 年 2 月 17 日(ahban.shiba)上传到 VSCode 市场,绕过了安全审查流程并在微软商店中保留了很长一段时间。
VSCode 市场是一个在线平台,开发人员可以在此查找、安装和共享 Visual Studio Code (VSCode) 的扩展。它被软件和 Web 开发人员、数据科学家和程序员广泛使用。
ReversingLabs 发现这两个扩展包含一个 PowerShell 命令,该命令从托管在 Amazon AWS 上的远程服务器下载并执行另一个充当勒索软件的 PS 脚本。
该勒索软件显然处于开发或测试阶段,因为它仅加密 C:users%username%DesktoptestShiba 文件夹中的文件,不会触及任何其他文件。
文件加密完成后,脚本将显示 Windows 警报,指出“您的文件已加密。向 ShibaWallet 支付 1 ShibaCoin 即可恢复文件。” 与普通勒索软件攻击不同,不会提供赎金通知或其他指示。
ReversingLabs 表示,在研究人员报告后,微软迅速从 VSCode 市场中删除了这两个扩展。
然而,ExtensionTotal 安全研究员 Italy Kruk 告诉 BleepingComputer,他们的自动扫描仪早些时候就发现了这些扩展,并在不久前通知了微软,但尚未收到任何回复。
Kruk 解释说,ahban.cychelloworld 在最初上传时并不具有恶意。它在第二次提交(版本 0.0.2)中添加了勒索软件代码,该版本于 2024 年 11 月 24 日在 VSCode 市场上被接受。
Kruk 告诉 BleepingComputer:“我们于 2024 年 11 月 25 日通过扫描仪生成的自动报告向微软报告了 ahban.cychelloworld。”
“可能是由于有问题的扩展程序的安装数量较少,微软没有优先进行审查。”
此后,ahban.cychelloworld 扩展又发布了 5 个版本,均包含恶意代码,并被微软商店接受。
这些扩展程序下载并执行了远程 PowerShell 脚本,而且近四个月的时间都未被发现,这一事实表明微软的审查流程存在令人担忧的漏洞。
尽管在这种情况下微软数月来都没有做出反应,但该公司最近却采取了相反的行动,在收到可疑混淆代码的报告后,过快地删除了 900 万用户使用的 VSCode 主题。
虽然 VSCode 主题不应该使用混淆的 JavaScript,但“Material Theme - Free”和“Material Theme Icons - Free”扩展后来被证明不是恶意的。
微软对不公正地删除和禁止其出版商的行为表示道歉,并表示将更新其“扫描仪和调查流程,以减少再次发生类似事件的可能性”。
原文始发于微信公众号(犀牛安全):VSCode 扩展程序被发现早期版本中包含勒索软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3904463.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论