Auf dem VSCode-Marktplatz wurden bösartige Visual Studio Code-Erweiterungen entdeckt, die stark verschleierte PowerShell-Payloads herunterladen, um Entwickler und Kryptowährungsprojekte in Supply-Chain-Angriffen anzugreifen.
In einem Bericht von Reversing Labs heißt es, dass die bösartigen Erweiterungen erstmals im Oktober auf dem VSCode-Marktplatz auftauchten.
"Im Oktober 2024 sah das RL-Forschungsteam eine neue Welle bösartiger VSCode-Erweiterungen mit Downloader-Funktionalität, die alle Teil derselben Kampagne waren", heißt es im Bericht von Reversing Labs.
"Die Gemeinschaft wurde erstmals Anfang Oktober über diese Kampagne informiert, und seither hat das Team sie unermüdlich verfolgt.
Ein weiteres Paket, das auf die Krypto-Community abzielt und Teil dieser Kampagne ist, wurde auf NPM gefunden.
Der Sicherheitsforscher Amit Assaraf veröffentlichte heute ebenfalls einen Bericht mit sich überschneidenden Ergebnissen, die auf dieselbe Aktivität hindeuten.
Bösartige VSCode-Erweiterungen
Die Kampagne umfasst 18 bösartige Erweiterungen, die hauptsächlich auf Kryptowährungsinvestoren und Personen abzielen, die nach Produktivitätstools wie Zoom suchen.
Auf dem VSCode-Marktplatz wurden die folgenden Erweiterungen eingereicht:
EVM.Blockchain-Toolkit
VoiceMod.VoiceMod
ZoomVideoCommunications.Zoom
ZoomINC.Zoom-Arbeitsplatz
Ethereum.SoliditySupport
ZoomWorkspace.Zoom (drei Versionen)
ethereumorg.Solidity-Sprache-für-Ethereum
VitalikButerin.Solidity-Ethereum (zwei Versionen)
SolidityFoundation.Solidity-Ethereum
EthereumFoundation.Solidity-Language-for-Ethereum (zwei Versionen)
SOLIDITY.Solidity-Sprache
GavinWood.SolidityLang (zwei Versionen)
EthereumFoundation.Solidity-für-Ethereum-Sprache
Auf npm luden die Bedrohungsakteure fünf Versionen des Pakets "etherscancontacthandler" in den Versionen 1.0.0 bis 4.0.0 hoch, die insgesamt 350 Mal heruntergeladen wurden.
Um die scheinbare Legitimität der Pakete zu erhöhen, fügten die Bedrohungsakteure gefälschte Bewertungen hinzu und blähten ihre Installationszahlen auf, um sie vertrauenswürdiger erscheinen zu lassen.
Gefälschte Bewertungen und Anzahl der Installationen
Gefälschte Bewertungen und Anzahl der Installationen
Quelle: ReversingLabs
Laut ReversingLabs hatten alle Erweiterungen dieselbe bösartige Funktionalität und waren so konzipiert, dass sie verschleierte Nutzdaten der zweiten Stufe von verdächtigen Domänen herunterladen.
Zwei der bösartigen Domains, die so gewählt wurden, dass sie legitim erscheinen, sind "microsoft-visualstudiocode[.]com" und "captchacdn[.]com", während andere TLDs wie ".lat" und ".ru" verwendeten.
Bösartige VSCode-Erweiterung, die sekundäre Nutzdaten herunterlädt
Bösartige VSCode-Erweiterung, die sekundäre Nutzdaten herunterlädt
Quelle: ReversingLabs
Weder ReversingLabs noch Assaraf haben die Nutzlast der zweiten Stufe analysiert, so dass ihre Funktionen unbekannt sind, aber die roten Fahnen, die sie umgeben, sind zahlreich.
Vergleich zwischen dem npm-Paket und den VSCode-Erweiterungen
Vergleich zwischen dem npm-Paket und den VSCode-Erweiterungen
Quelle: ReversingLabs
BleepingComputer fand heraus, dass die sekundären Nutzdaten, die von diesen VSCode-Erweiterungen heruntergeladen werden, stark verschleierte Windows CMD-Dateien sind, die einen versteckten PowerShell-Befehl starten.
Der versteckte PowerShell-Befehl entschlüsselt AES-verschlüsselte Zeichenfolgen in zusätzlichen CMD-Dateien, um weitere Nutzdaten auf dem angegriffenen System abzulegen und auszuführen.
PowerShell-Befehl zum Entschlüsseln bösartiger Nutzdaten
PowerShell-Befehl zum Entschlüsseln bösartiger Nutzdaten
Quelle: BleepingComputer
Eine der von BleepingComputer getesteten Nutzlasten war die Datei %temp%\MLANG.DLL, die von VirusTotal in 27/71 Antivirenprogrammen als bösartig eingestuft wird.
Die Forscher haben eine detaillierte Liste der bösartigen Pakete und VSCode-Erweiterungen mit ihren SHA1-Hashes am Ende ihres Berichts bereitgestellt, um die Identifizierung und Eindämmung von Kompromittierungen der Lieferkette zu erleichtern.
Achten Sie beim Herunterladen der Bausteine Ihres Softwareprojekts auf die Sicherheit und Legitimität des Codes und darauf, dass es sich nicht um Klone bekannter Plugins und Abhängigkeiten handelt.
Leider gab es in letzter Zeit mehrere Beispiele für bösartige npm-Pakete, die zu äußerst schädlichen Kompromittierungen der Lieferkette und VSCode-Erweiterungen führten, die auf Benutzerpasswörter abzielten und Remote-Shells auf dem Host-System öffneten.