У редакторі коду VSCode знайшли 18 шкідливих розширень, націлених на розробників

Дослідники Reversing Labs виявили у популярному редакторі коду VSCode зловмисні розширення, які встановлюють обфусковані навантаження PowerShell. Ціллю хакерів є розробники та криптовалютні проекти, пише Bleeping Computer.

У звіті Reversing Labs стверджується, що вперше це сімейство шкідливих розширень було виявлено у VSCode ще в жовтні.

«Протягом жовтня 2024 року дослідницька група RL спостерігала нову хвилю шкідливих розширень VSCode, які містять функцію завантажувача — усі вони були частиною однієї кампанії. Спільноту вперше сповістили про цю кампанію на початку жовтня, і з того часу команда неухильно відслідковувала її», — йдеться у звіті.

На сьогодні відомо про 18 шкідливих розширень, націлених головним чином на інвесторів у криптовалюту. У цей перелік входить:

• EVM.Blockchain-Toolkit
• VoiceMod.VoiceMod
• ZoomVideoCommunications.Zoom
• ZoomINC.Zoom-Workplace
• Ethereum.SoliditySupport
• ZoomWorkspace.Zoom (три версії)
• ethereumorg.Solidity-Language-for-Ethereum
• VitalikButerin.Solidity-Ethereum (дві версії)
• SolidityFoundation.Solidity-Ethereum
• EthereumFoundation.Solidity-Language-for-Ethereum (дві версії)
• SOLIDITY.Solidity-Language
• GavinWood.SolidityLang (дві версії)
• EthereumFoundation.Solidity-for-Ethereum-Language

На npm зловмисники завантажили п’ять версій пакета «etherscancontacthandler», починаючи від версії 1.0.0 до 4.0.0. Їх було завантажено близько 350 разів.

Щоб збільшити кількість завантажень, зловмисники додали фальшиві відгуки та завищили кількість установок, щоб пакети виглядали більш «надійними».

За даними Reversing Labs, всі розширення мали однакову шкідливу функціональність і були розроблені для завантаження обфускованих корисних даних другого етапу з підозрілих доменів, таких як microsoft-visualstudiocode[.]com і captchacdn[.]com. Інші сайти хакерів використовували домени верхнього рівня, такі як «.lat» і «.ru».