18/05/23
Исследователи компании Check Point 4 мая этого года обнаружили три вредоносных расширения, загруженные в Microsoft VSCode Marketplace. Программное обеспечение, внедрённое в расширения, позволило злоумышленникам похитить учётные данные, системную информацию, а также установить удалённую оболочку на компьютере жертв. Спустя 10 дней после обнаружения вредоносные расширения были удалены, однако суммарно их успели загрузить 46 600 раз, передает Securitylab.
Разработчики программного обеспечения, которые всё ещё используют данные расширения, должны вручную удалить их из своих систем и выполнить полное сканирование для обнаружения любых остатков заражения.
Microsoft VSCode — редактор исходного кода, разработанный корпорацией Microsoft и используемый значительным процентом профессиональных разработчиков программного обеспечения по всему миру.
Исследователями Check Point были обнаружены следующие вредоносные расширения:
- «Theme Darcula dark», 45 000 скачиваний. Описывается как «попытка улучшить согласованность Dracula colors в VS Code». Это расширение использовалось для кражи основной информации о системе разработчика, включая имя хоста, операционную систему, платформу процессора, общий объем памяти и информацию о процессоре.
- «python-vscode», 1384 скачивания. Анализ кода расширения показал, что это инжектор оболочки C#, который может выполнять произвольный код или команды на компьютере жертвы.
- «prettiest java», 278 скачиваний. Судя по названию и описанию расширения, оно было создано для имитации популярного инструмента форматирования кода «prettier-java». Расширение крадёт сохранённые учётные данные или токены аутентификации из Discord, Discord Canary, Google Chrome, Opera, Brave и Yandex Browser.
Специалисты Check Point также обнаружили множество других подозрительных расширений, которые нельзя было с уверенностью охарактеризовать как вредоносные. Однако они всё же демонстрировали небезопасное поведение, такое как извлечение кода из частных репозиториев или загрузка файлов.
