Дослідники виявили шкідливі пакети VS Code, Go, npm та Rust, які викрадають дані розробників

Дослідники з компанії Koi Security виявили на маркетплейсі Microsoft VS Code два нових розширення, які створені для зараження комп’ютерів розробників шкідливим ПЗ — стілерами. Про це пише The Hacker News.

Перше розширення VS Code (BigBlack.bitcoin-black) маскується під преміальну темну тему, інше (BigBlack.codo-ai) видає себе за помічника кодування на базі штучного інтелекту. Насправді обидві програми мають приховані функції для завантаження додаткових корисних навантажень, створення скріншотів та крадіжки даних. Викрадена інформація надсилається на сервер, контрольований зловмисником.

«Ваш код. Ваші електронні листи. Ваші особисті повідомлення в Slack. Все, що було на вашому екрані, вони теж це бачать.І це тільки початок. Він також краде ваші паролі Wi-Fi, зчитує ваш буфер обміну та захоплює сеанси вашого браузера», — заявив Ідан Дардікман з Koi Security.

Хоча “BigBlack.bitcoin-black” активується при кожній дії VS Code, Codo AI більш небезпечне, оскільки воно могло вбудовувати свою шкідливу функціональність в робочий інструмент, що дозволяло обходити виявлення. Обидві шкідливі програми вже видалені с каталогу розширень.

Виконуваний файл в обох розширеннях — легітимний бінарний файл Lightshot, який використовується для завантаження шахрайської DLL-бібліотеки Lightshot.dll. Вона збирає вміст буфера обміну, список встановлених програм, запущених процесів, скріншоти робочого столу, збережені облікові дані Wi-Fi та детальну системну інформацію. Програма також запускає Google Chrome та Microsoft Edge в режимі headless для захоплення збережених файлів cookie та захоплення сесій користувачів.

«Розробник може встановити щось на зразок нешкідливої ​​теми або корисного інструменту штучного інтелекту, і протягом кількох секунд його паролі Wi-Fi, вміст буфера обміну та сеанси браузера будуть перенесені на віддалений сервер», — пояснив Дардікман.

Трохи раніше компанія Socket заявила про виявлення шкідливих пакетів в екосистемах Go, npm та Rust, які теж здатні збирати конфіденційні дані:

• пакети Go під назвою “github[.]com/bpoorman/uuid” та “github[.]com/bpoorman/uid”, доступні з 2021 року;
• набір із 420 унікальних npm-пакетів, деякі з яких містять код для виконання зворотної оболонки та вилучення файлів до кінцевої точки Pipedream;
• крейт (найменший обсяг коду) Rust під назвою finch-rust, який видає себе за легітимний біоінформатичний інструмент “finch” та служить завантажувачем для шкідливого корисного навантаження через пакет крадіжки облікових даних, відомий як “sha-rust”.

Finch-rust діє як завантажувач шкідливого програмного забезпечення; він містить здебільшого легітимний код, скопійований з легітимного пакета finch, але включає один шкідливий рядок, який завантажує та виконує корисне навантаження sha-rust. Це розділення проблем ускладнює виявлення: finch-rust виглядає безпечним окремо, тоді як sha-rust містить фактичне шкідливе програмне забезпечення.