СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.01.2025
#Dev#ИБ#Инфра

Угроза кибербезопасности: вредоносное расширение для VS Code

Угроза кибербезопасности: вредоносное расширение для VS Code

Изображение: hunt.io

Исследователи в области кибербезопасности недавно выявили значительные риски, связанные с использованием расширений для улучшения работы разработчиков в экосистеме Visual Studio Code (VS Code). В конце ноября стало известно о внедрении вредоносного расширения, замаскированного под популярное приложение Zoom, которое нацелено на пользователей с целью кражи файлов cookie Google Chrome.

Обнаружение вредоносного расширения

Этот инцидент стал ярким примером использования хакерами надежной инфраструктуры, такой как CDN от Microsoft, для распространения вредоносных программ через, казалось бы, легитимные каналы. Дальнейшие расследования выявили более широкую кампанию вредоносных расширений VS Code, в том числе одно, которое отслеживалось с октября.

Тактика злоумышленников

Несмотря на попытки повысить доверие к Zoom Meeting SDK с помощью ссылок на легитимный репозиторий GitHub, мошеннические расширения сохраняли злонамеренные намерения, маскируясь под безопасные приложения. Эволюционирующий характер этих угроз подчеркивает необходимость постоянного мониторинга и бдительности для выявления и снижения рисков, связанных с расширениями VS Code.

Технические аспекты вредоносного расширения

Анализируя технические детали обманчивого расширения, исследователи обнаружили преднамеренный подход к внедрению вредоносных функций, заключающийся в поэтапном выпуске. Расширение распространялось в формате VSIX, который напоминает zip-файл и содержит ключевые файлы, такие как extension.js, выполняющие вредоносный код при активации.

Скрипт требовал модули Node.js для выполнения безопасных HTTP-запросов и интеграции с базой данных, что указывает на потенциальную манипуляцию данными и их сохраняемость. Вредоносное расширение предназначалось для несанкционированного доступа к файлам cookie Google Chrome, используя сетевые запросы к серверу в Китае для потенциального хранения или управления данными.

Риски и рекомендации

Согласно исследованию, код вредоносного расширения пытался извлечь данные cookie из базы данных Chrome, подчеркивая способность расширения получать доступ к конфиденциальной информации и злоупотреблять ею в среде разработки пользователя. В ответ на эти угрозы исследователи сообщили о вредоносном расширении в Microsoft VS Code Marketplace, чтобы защитить пользователей от потенциальных угроз безопасности.

В качестве мер по повышению безопасности при использовании расширений VS Code были даны следующие рекомендации:

  • Проверка расширений с помощью аудита кода и оценки репутации;
  • Внедрение строгого контроля доступа для ограничения разрешений;
  • Информирование разработчиков и пользователей о рисках, связанных с вредоносными плагинами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: