Ricercatori di cybersecurity scoprono estensioni malevole su Visual Studio Code Marketplace
Recentemente, i ricercatori di cybersecurity hanno individuato due estensioni malevole nel Visual Studio Code (VSCode) Marketplace, progettate per distribuire ransomware in fase di sviluppo agli utenti. Le estensioni, denominate “ahban.shiba” e “ahban.cychelloworld”, sono state rimosse dai gestori del marketplace.
Secondo ReversingLabs, entrambe le estensioni contenevano codice progettato per invocare un comando PowerShell. Questo comando recuperava un payload PowerShell-script da un server di comando e controllo (C2) ed eseguiva il codice. Si sospetta che il payload sia un ransomware in fase iniziale di sviluppo, in grado di criptare solo i file in una cartella chiamata “testShiba” sul desktop di Windows della vittima.
Una volta criptati i file, il payload PowerShell visualizzava un messaggio che diceva: “I tuoi file sono stati criptati. Paga 1 ShibaCoin a ShibaWallet per recuperarli”. Tuttavia, non venivano fornite ulteriori istruzioni o indirizzi di portafogli di criptovaluta, un altro segnale che il malware è probabilmente ancora in fase di sviluppo da parte degli attori della minaccia.
Questa scoperta arriva pochi mesi dopo che un’azienda di sicurezza della catena di fornitura software ha segnalato diverse estensioni malevole, alcune delle quali si spacciavano per Zoom, ma contenevano funzionalità per scaricare un payload di seconda fase sconosciuto da un server remoto.
La scorsa settimana, Socket ha dettagliato un pacchetto Maven malevolo che impersonava la libreria OAuth scribejava-core, progettato per raccogliere ed esfiltrare segretamente le credenziali OAuth il quindicesimo giorno di ogni mese, evidenziando un meccanismo di attivazione basato sul tempo progettato per eludere il rilevamento. La libreria è stata caricata su Maven Central il 25 gennaio 2024 e continua a essere disponibile per il download dal repository.
“Gli attaccanti hanno utilizzato il typosquatting — creando un nome quasi identico per ingannare gli sviluppatori a includere il pacchetto malevolo,” ha affermato il ricercatore di sicurezza Kush Pandya. “Interessante è che questo pacchetto malevolo ha sei pacchetti dipendenti. Tutti utilizzano il typosquatting di pacchetti legittimi ma condividono lo stesso groupId (io.github.leetcrunch) invece del namespace reale (com.github.scribejava).”
Adottando questo approccio, l’idea è di aumentare la percezione di legittimità della libreria malevola, incrementando così le probabilità che uno sviluppatore la scarichi e la utilizzi nei propri progetti.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
