Reaparecen extensiones maliciosas de VS Code que robandentde GitHub y monederos de criptomonedas.
Los desarrolladores tendrán que lidiar con un código malicioso latente que se ha vuelto activo en las extensiones de Visual Studio Code (VS Code), que se cree que ha comprometido a miles de usuarios al robardentpara GitHub, Open VSX y billeteras de criptomonedas.
La Operación GlassWorm, identificada por primera vez dent la empresa de ciberseguridad Koi Security a finales del mes pasado, fue creada por un grupo que pirateaba extensiones de VS Code distribuidas a través del Registro Open VSX y el Marketplace de Visual Studio de Microsoft. Según los informes, los ciberdelincuentes insertaban código malicioso en herramientas de desarrollo de apariencia legítima.
Los investigadores de seguridad de Koi afirman que la campaña tiene como objetivo principal recopilardentde desarrolladores, como tokens NPM, inicios de sesión de GitHub ydentde Git, para facilitar la vulneración de la cadena de suministro y el robo financiero.
Según el análisis de Koi, el mismo malware también ha atacado 49 extensiones diferentes de monederos de criptomonedas, drenando los fondos de los usuarios y extrayendo datos confidenciales a servidores remotos.
GlassWorm convierte las máquinas de los desarrolladores en herramientas para delincuentes
Según un artículo del blog del equipo de Koi, compartido en varios subreddits, las extensiones maliciosas implementan servidores proxy SOCKS y utilizan los sistemas de los desarrolladores comprometidos para crear una red proxy criminal. Paralelamente, instalan servidores VNC ocultos, lo que otorga a los atacantes acceso remoto completo a las máquinas de las víctimas sin dejar rastro.
Lasdentrobadas de GitHub y NPM ayudan a los operadores a infectar repositorios y paquetes adicionales, y permiten que GlassWorm se propague más profundamente en la cadena de suministro de software.
Open VSX confirmó que el 21 de octubredenty eliminó todas las extensiones maliciosas conocidas asociadas con la campaña, y también revocó y rotó los tokens comprometidos.
Sin embargo, el nuevo informe de Koi Security indica que GlassWorm ha resurgido, utilizando una forma más avanzada de ofuscación basada en Unicode para eludir los sistemas de detección.
Según la empresa, siete extensiones volvieron a verse comprometidas el 17 de octubre, acumulando un total de 35.800 descargas. La telemetría de Koi también muestra que diez extensiones infectadas están actualmente activas y disponibles públicamente, y distribuyen malware al momento de redactar este informe.
“La infraestructura de comando y control del atacante permanece totalmente operativa. Los servidores de carga útil siguen respondiendo y lasdentrobadas se están utilizando para comprometer nuevos paquetes.”
El malware CodeJoy es invencible, Koi Security lo desmiente.
El motor de análisis de riesgos de Koi detectó una extensión de Open VSX llamada CodeJoy después de que la versión 1.8.3 presentara "cambios de comportamiento inusuales". CodeJoy parece una herramienta legítima de productividad para desarrolladores con cientos de descargas, un código fuente limpio y actualizaciones regulares.
«Al abrir el código fuente, detectamos un enorme espacio en blanco entre las líneas dos y siete», explicaron los investigadores de Koi. «No se trata de un espacio vacío, sino de código malicioso codificado en caracteres Unicode no imprimibles que no se visualizan correctamente en el editor de código».
Los atacantes utilizaron selectores de variación Unicode invulnerables que hacen que la carga maliciosa sea invisible al ojo humano. Las herramientas de análisis estático y las revisiones manuales del código no detectaron nada inusual; sin embargo, el intérprete de JavaScript ejecutó los comandos ocultos a la perfección.
Cuando se descifraron, los caracteres invisibles revelaron un mecanismo de carga útil de segunda etapa, uno que los investigadores de Koi descubrieron que utiliza la cadena de bloques Solana como su infraestructura de comando y control (C2).
“El atacante está utilizando una cadena de bloques pública, que es inmutable, descentralizada y resistente a la censura, como su canal C2”, explicó Koi.
El malware escanea la red Solana en busca de transacciones procedentes de una dirección de monedero predefinida. Al encontrar una, lee el campo de notas, donde se puede adjuntar texto arbitrario a las transacciones. Dentro de ese campo de notas se encuentra un objeto JSON que contiene un enlace codificado en base64 para descargar la siguiente fase del malware.
Una transacción Solana del 15 de octubre que se muestra en el análisis de Koi contenía datos que se decodificaron hasta una URL que alojaba la ubicación activa para descargar la siguiente etapa del malware.
Un atacante puede rotar las cargas útiles publicando una nueva transacción Solana por fracciones de centavo, actualizando todas las extensiones infectadas que consultan la cadena de bloques en busca de nuevas instrucciones.
Según Koi, incluso si los defensores bloquean una URL de carga útil, el atacante puede emitir otra transacción más rápido de lo que se tarda en bloquear una.
“Es como jugar al juego de golpear topos con infinitos topos”, señaló un investigador de Koi.
Los miembros de Koi Security, Idan Dardikman, Yuval Ronen y Lotan Sery, confirmaron que el actor de amenazas publicó nuevas transacciones Solana que contienen nuevos puntos de conexión de comandos esta misma semana.
Regístrate en Bybit y comienza a operar con $30,050 en regalos de bienvenida
Artículos Recomendados
