Des extensions de code Visual Studio malveillantes ont été découvertes sur le marché VSCode qui téléchargent des charges utiles PowerShell fortement obscurcies pour cibler les développeurs et les projets de crypto-monnaie dans les attaques de la chaîne d’approvisionnement.
Dans un rapport de Reversing Labs, les chercheurs affirment que les extensions malveillantes sont apparues pour la première fois sur le marché VSCode en octobre.
« Tout au long du mois d’octobre 2024, l’équipe de recherche RL a vu une nouvelle vague d’extensions VSCode malveillantes contenant des fonctionnalités de téléchargement — toutes faisant partie de la même campagne », lit-on dans le rapport de Reversing Labs.
« La communauté a été informée pour la première fois de cette campagne début octobre, et depuis lors, l’équipe n’a cessé de la suivre. »
Un package supplémentaire ciblant la communauté cryptographique et une partie de cette campagne a été trouvé sur NPM.
Le chercheur en sécurité Amit Assaraf a également publié aujourd’hui un rapport avec des résultats qui se chevauchent, pointant vers la même activité.
Extensions VSCode malveillantes
La campagne comprend 18 extensions malveillantes ciblant principalement les investisseurs en crypto-monnaie et ceux qui recherchent des outils de productivité comme Zoom.
Sur le marché VSCode, les extensions suivantes ont été soumises:
- MVE.Boîte à outils Blockchain
- Voix Mod.Voix Mod
- Communications Vidéo Zoom.Zoom Avant
- Zoom.Zoom-Lieu de travail
- Ethereum.Support de Solidité
- Zoom Espace de travail.Zoom (trois versions)
- ethereum org.Solidité-Langage-pour-Ethereum
- Vitalik Buterin.Solidité-Ethereum (deux versions)
- Fondation Solidité.Solidité-Ethereum
- Fondation Ethereum.Solidity-Langage-pour-Ethereum (deux versions)
- SOLIDITÉ.Solidité-Langue
- Gavinwood.Languette de solidite (deux versions)
- Fondation Ethereum.Solidité-pour-Ethereum-Langue
Sur npm, les acteurs de la menace ont téléchargé cinq versions du package ‘ethers can contact handler’ version 1.0.0 à 4.0.0, téléchargées collectivement 350 fois.
Pour accroître la légitimité apparente des packages, les auteurs de menaces ont ajouté de fausses critiques et gonflé leurs numéros d’installation pour les rendre plus fiables.
ReversingLabs indique que toutes les extensions avaient la même fonctionnalité malveillante et étaient conçues pour télécharger des charges utiles de deuxième étape obscurcies à partir de domaines suspects.
Deux des domaines malveillants choisis pour apparaître légitimes sont ‘ microsoft-visual studio code[.] com ‘ et ‘ captchacdn[.] com, ‘ alors que d’autres utilisaient des TLDs comme ‘.lat ‘et’. ru.’
Ni ReversingLabs ni Assaraf n’ont analysé la charge utile du deuxième étage, donc ses fonctions sont inconnues, mais les drapeaux rouges qui l’entourent sont abondants.
Breachtrace a constaté que les charges utiles secondaires téléchargées par ces extensions VSCode sont des fichiers CMD Windows fortement obscurcis qui lancent une commande PowerShell cachée.
La commande PowerShell cachée déchiffrera les chaînes cryptées AES dans des fichiers CMD supplémentaires pour déposer d’autres charges utiles sur le système compromis et les exécuter.
L’une des charges utiles abandonnées dans les tests de Breachtrace était le % temp % \MLANG.Fichier DLL, qui est détecté comme malveillant par VirusTotal dans 27/71 moteurs antivirus.
Les chercheurs ont fourni une liste détaillée des packages malveillants et des extensions VSCode avec leurs hachages SHA1 au bas de leur rapport, pour aider à identifier et à atténuer les compromissions de la chaîne d’approvisionnement.
Lors du téléchargement des blocs de construction de votre projet logiciel, assurez-vous de valider la sécurité et la légitimité du code et qu’ils ne sont pas des clones de plugins et de dépendances populaires.
Malheureusement, il y a eu de nombreux exemples récents de packages npm malveillants entraînant des compromissions très dommageables de la chaîne d’approvisionnement et des extensions VSCode qui ciblaient les mots de passe des utilisateurs et ouvraient des shells distants sur le système hôte.