Extensões maliciosas do VS Code ressurgem, roubandodentdo GitHub e carteiras de criptomoedas.

Os desenvolvedores terão que lidar com um código malicioso inativo que se tornou ativo nas extensões do Visual Studio Code (VS Code), que acredita-se ter comprometido milhares de usuários ao roubardentdo GitHub, Open VSX e carteiras de criptomoedas.

A Operação GlassWorm, identificada pela primeira vez dent empresa de cibersegurança Koi Security no final do mês passado, foi criada por um grupo que invadia extensões do VS Code distribuídas tanto pelo Open VSX Registry quanto pelo Visual Studio Marketplace da Microsoft. Os criminosos estariam inserindo código malicioso em ferramentas de desenvolvimento com aparência legítima.

Pesquisadores de segurança da Koi afirmam que a campanha visa principalmente coletardentde desenvolvedores, como tokens NPM, logins do GitHub edentGit, para possibilitar a violação da cadeia de suprimentos e roubo financeiro. 

Segundo a análise da Koi, o mesmo malware também teve como alvo 49 extensões diferentes de carteiras de criptomoedas, drenando fundos de usuários e exfiltrando dados confidenciais para servidores remotos.

GlassWorm transforma máquinas de desenvolvedores em ferramentas para criminosos.

Conforme relatado no artigo do blog da equipe da Koi, compartilhado em vários subreddits, as extensões maliciosas implantam servidores proxy SOCKS e usam os sistemas comprometidos dos desenvolvedores para construir uma rede proxy criminosa. Paralelamente, instalam servidores VNC ocultos, concedendo aos atacantes acesso remoto completo às máquinas das vítimas sem nenhum sinal visível.

dentroubadas do GitHub e do NPM ajudam os operadores a infectar repositórios e pacotes adicionais, permitindo que o GlassWorm se propague mais profundamente na cadeia de fornecimento de software.

A Open VSX confirmou quedente removeu todas as extensões maliciosas conhecidas associadas à campanha em 21 de outubro, além de revogar e rotacionar os tokens comprometidos. 

No entanto, o novo relatório da Koi Security indica que o GlassWorm ressurgiu, usando uma forma mais avançada de ofuscação baseada em Unicode para burlar os sistemas de detecção.

Segundo a empresa, sete extensões foram comprometidas novamente em 17 de outubro, acumulando um total de 35.800 downloads. A telemetria da Koi também mostra que dez extensões infectadas estão atualmente ativas e disponíveis publicamente, distribuindo malware até o momento desta publicação.

“A infraestrutura de comando e controle do atacante permanece totalmente operacional. Os servidores de carga útil ainda estão respondendo e asdentroubadas estão sendo usadas para comprometer novos pacotes.”

O malware CodeJoy é invencível, desmente a Koi Security.

O mecanismo de análise de risco da Koi sinalizou uma extensão Open VSX chamada CodeJoy após a versão 1.8.3 apresentar "alterações comportamentais incomuns". O CodeJoy parece ser uma ferramenta legítima de produtividade para desenvolvedores, com centenas de downloads, um código-fonte limpo e atualizações regulares.

“Ao abrirmos o código-fonte, notamos uma enorme lacuna entre as linhas dois e sete”, disseram os pesquisadores da Koi. “Não se trata de um espaço vazio, mas sim de um código malicioso codificado em caracteres Unicode não imprimíveis que não são exibidos corretamente no seu editor de código.”

Os atacantes usaram seletores de variação Unicode invencíveis que tornam a carga maliciosa invisível ao olho humano. Ferramentas de análise estática e revisões manuais de código não detectaram nada de incomum, mas o interpretador JavaScript executou os comandos ocultos sem problemas.

Ao serem decodificados, os caracteres invisíveis revelaram um mecanismo de carga útil de segundo estágio, que os pesquisadores da Koi descobriram usar o blockchain Solana como sua infraestrutura de comando e controle (C2).

“O atacante está usando um blockchain público, que é imutável, descentralizado e resistente à censura, como seu canal de comando e controle”, explicou Koi.

O malware examina a rede Solana em busca de transações provenientes de um endereço de carteira pré-definido. Ao encontrar uma, ele lê o campo "memo", onde um texto arbitrário pode ser anexado às transações. Dentro desse campo "memo" encontra-se um objeto JSON contendo um link codificado em base64 para baixar o payload da próxima etapa.

Uma transação Solana datada de 15 de outubro, exibida na análise da Koi, continha dados que foram decodificados para um URL que hospedava o local ativo para o download da próxima etapa do malware.

Um atacante pode rotacionar payloads publicando uma nova transação Solana por frações de centavo, atualizando todas as extensões infectadas que consultam o blockchain em busca de novas instruções. 

Segundo Koi, mesmo que os defensores bloqueiem um URL de carga útil, o atacante pode emitir outra transação mais rapidamente do que leva para derrubar uma. 

“É como jogar ‘acerte a toupeira’ com toupeiras infinitas”, observou um pesquisador da Koi.

Idan Dardikman, Yuval Ronen e Lotan Sery, membros da Koi Security, confirmaram que o agente de ameaças publicou novas transações Solana contendo novos endpoints de comando ainda nesta semana. 

Cadastre-se no Bybit e comece a negociar com US$ 30.050 em presentes de boas-vindas