VSCode pazarında, tedarik zinciri saldırılarındaki geliştiricileri ve kripto para birimi projelerini hedeflemek için ağır bir şekilde gizlenmiş PowerShell yüklerini indiren kötü niyetli görsel stüdyo kodu uzantıları keşfedildi.
Laboratuvarları tersine çeviren bir raporda, araştırmacılar kötü niyetli uzantıların ilk olarak Ekim ayında VSCode pazarında göründüğünü söylüyor.
"Ekim 2024 boyunca, RL araştırma ekibi, aynı kampanyanın bir parçası olan indirici işlevselliği içeren yeni bir kötü amaçlı VSCODE uzantısı dalgası gördü."
Diyerek şöyle devam etti: "Topluluk ilk olarak Ekim ayı başlarında gerçekleşen bu kampanyadan haberdar edildi ve o zamandan beri ekip bunu izlemede kararlıydı."
Kripto topluluğunu ve bu kampanyanın bir kısmını hedefleyen ek bir paket NPM'de bulundu.
Güvenlik araştırmacısı Amit Assaraf, bugün aynı etkinliğe işaret eden örtüşen bulguları içeren bir rapor yayınladı.
Kampanya, öncelikle kripto para birimi yatırımcısını hedefleyen 18 kötü niyetli uzantıyı ve Zoom gibi verimlilik araçlarını arayanları içermektedir.
VSCode pazarında aşağıdaki uzantılar sunuldu:
NPM'de, tehdit aktörleri 'Etherscancontacthandler' sürüm 1.0.0 ila 4.0.0 sürümünün beş versiyonunu toplu olarak 350 kez indirdi.
Paketlerin görünür meşruiyetini arttırmak için, tehdit aktörleri sahte incelemeler ekledi ve daha güvenilir görünmelerini sağlamak için kurulum numaralarını şişirdi.
ReversingLabs, tüm uzantıların aynı kötü niyetli işlevselliğe sahip olduğunu ve şüpheli alanlardan gizlenmiş ikinci aşama yükleri indirmek için tasarlandığını söylüyor.
Meşru görünmek için seçilen kötü amaçlı alanlardan ikisi 'Microsoft-HisualStudiocode [.] Com' ve 'captchacdn [.] Com', diğerleri ise '.lat' ve '.ru' gibi tlds kullandı.
Ne TersingLabs ne de Assaraf ikinci aşama yükü analiz etmedi, bu nedenle işlevleri bilinmiyor, ancak onu çevreleyen kırmızı bayraklar bol miktarda bulunuyor.
BleepingComputer, bu VSCODE uzantıları tarafından indirilen ikincil yüklerin gizli bir PowerShell komutunu başlatan yoğun bir şekilde gizlenmiş Windows CMD dosyaları olduğunu buldu.
Gizli PowerShell komutu, ek CMD dosyalarındaki AES şifreli dizeleri, tehlikeye atılan sistemde daha fazla yük bırakmak ve yürütmek için şifresini çözecektir.
BleepingComputer'ın testlerine düşen yüklerden biri, 27/71 antivirüs motorunda Virustotal tarafından kötü niyetli olarak tespit edilen %Temp %\ mlang.dll dosyasıydı.
Araştırmacılar, tedarik zinciri uzlaşmalarını tanımlamaya ve hafifletmeye yardımcı olmak için raporlarının altındaki SHA1 karmalarıyla kötü amaçlı paketlerin ve VSCODE uzantılarının ayrıntılı bir listesini sağladılar.
Yazılım projenizin yapı taşlarını indirirken, kodun güvenliğini ve meşruiyetini doğruladığınızdan ve popüler eklentilerin ve bağımlılıkların klonları olmadığından emin olun.
Ne yazık ki, kullanıcı şifrelerini hedefleyen ve ana bilgisayar sisteminde uzak kabuklar açan yüksek zarar verici tedarik zinciri uzantılarına ve VSCODE uzantılarına neden olan son zamanlarda kötü niyetli NPM paketlerinin birçok örneği olmuştur.
Lottiefiles, kullanıcıların kriptolarını çalmak için tedarik zinciri saldırısına hacklendi
Tedarik zinciri saldırısında bilgisayar korsanlarından çalınan 390.000 WordPress hesabı
Windows 10 KB5048652 Güncelleme Yeni Anakart Etkinleştirme Hatasını Düzeltiyor
Bu 39,99 $ Azure Kursu Düzeniyle Kariyerinizi Artırın
Aylık Ödemeleri Hendek: Microsoft Office'in ömrü artık 70 $
Kaynak: Bleeping Computer