СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.11.2025
#ИБ

Фальшивое расширение VSCode распространяло стиллер Anivia и крало данные

Недавний инцидент, связанный с торговой площадкой Visual Studio Code (VSCode), выявил серьёзную угрозу: вредоносное расширение, маскировавшееся под популярный форматтер Prettier, использовалось для доставки стиллера Anivia. Расширение под названием «prettier-vscode-plus» было ненадолго доступно на официальном маркетплейсе и целилось в разработчиков, чтобы похитить учётные данные и личные данные с их машин.

Что произошло

Атака характеризуется многоэтапным и обходным подходом, специально спроектированным для того, чтобы ускользнуть от стандартных мер защиты. Расширение, внешне похожее на легитимный инструмент, получало доверие у пользователей и затем запускало цепочку действий, приводящую к установке вредоносного ПО-стиллера.

Злоумышленники использовали «prettier-vscode-plus» для скрытой доставки Anivia и сбора конфиденциальных данных.

Как работает механизм атаки

  • Маскировка под популярный пакет (Prettier) для повышения доверия и быстрой установки.
  • Многоступенчатая загрузка и выполнение, затрудняющие обнаружение стандартными сканерами безопасности.
  • Развёртывание стиллера Anivia, который извлекает:
    • учётные данные для входа (логины и пароли);
    • системные метаданные;
    • личные данные, включая чаты WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta);
  • Передача собранной информации злоумышленникам и последующее возможное использование для дальнейших атак или мошенничества.

Почему это опасно

Широкий объём собираемых данных подчёркивает серьёзность угрозы: компрометация затрагивает как профессиональные артефакты (доступ к репозиториям, сервисам, токенам), так и личную переписку и конфиденциальную информацию. Для разработчиков это особенно критично, поскольку одна скомпрометированная рабочая машина может привести к масштабным утечкам и цепным инцидентам в инфраструктуре.

Рекомендации по защите

  • Устанавливать расширения только от доверенных издателей и проверенных репозиториев.
  • Перед установкой проверять исходный код расширения (если доступен) и отзывы пользователей.
  • Использовать принцип наименьших привилегий: не запускать редактор с правами администратора без необходимости.
  • Хранить секреты в менеджерах секретов, а не в конфигурационных файлах или переменных окружения в открытом виде.
  • Включить многофакторную аутентификацию (MFA) во всех сервисах и как можно скорее ротация ключей/паролей при подозрении на компромисс.
  • Развёртывать EDR/IDS и контролировать исходящие соединения (egress) для обнаружения аномальной активности.
  • Использовать изолированные среды разработки (контейнеры, виртуальные машины) для работы с непроверенными расширениями или сторонними проектами.
  • Мониторить репозитории и CI/CD на предмет неожиданной активности и включить сканирование артефактов на наличие вредоносного кода.

Вывод

Инцидент с «prettier-vscode-plus» и Anivia — напоминание о постоянных рисках, связанных со сторонним ПО и расширениями в средах разработки. Повышенная бдительность, процессы верификации расширений и многоуровневая защита критичны для предотвращения подобных целенаправленных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: