Grėsmės aktorius, vadinamas „TigerJack“, nuolat taiko kūrėjams, kuriuose yra kenkėjiškų plėtinių, paskelbtų „Microsoft“ „Visual Code“ (VSCODE) rinkoje ir „OpenVSX“ registre, kad pavogtų kriptovaliutą ir augalų užpakalines duris.
Du iš plėtinių, pašalintų iš „VScode“, suskaičiavus 17 000 atsisiuntimų, vis dar yra „OpenVSX“. Be to, „TigerJack“ paskelbia tą patį kenksmingą kodą pagal naujus pavadinimus „VSCode Marketplace“.
„OpenVSX“ yra bendruomenės prižiūrima atvirojo kodo pratęsimo rinka, veikianti kaip „Microsoft“ platformos alternatyva, teikianti nepriklausomą, pardavėjų neutralų registrą.
Tai taip pat yra numatytoji populiarių „VSCode“ suderinamų redaktorių rinka, kurios techniškai arba teisiškai riboja „VSCode“, įskaitant žymeklį ir vėjelį.
Kampaniją pastebėjo „Koi Security“ tyrėjai ir nuo metų pradžios išplatino mažiausiai 11 kenksmingų „VScode“ plėtinių.
Du iš šių plėtinių, pradėtų iš „VScode Marketplace“, yra pavadinti C ++ žaidimų aikštelė ir HTTP formatasir, tyrėjai teigia, kad jie buvo iš naujo įvesti platformoje per naujas paskyras.
Kai paleista, „C ++“ žaidimų aikštelė registruoja klausytoją („OnDidChangeTextDocument“), skirtą C ++ failams, kad būtų išaugintas šaltinio kodas į kelis išorinius galinius taškus. Po redagavimo klausytojas šaudo apie 500 milisekundžių, kad būtų galima užfiksuoti klavišų paspaudimus beveik realiu laiku.
Remiantis „Koi Security“, „HTTP“ formatas veikia taip, kaip reklamuojama, tačiau slapta valdo „CoinIMP“ kasyklą fone, naudodamas kietų koduotus kredencialus ir konfigūraciją, kad būtų galima iškasti „Crypto“, naudojant pagrindinio kompiuterio apdorojimo galią.
Atrodo, kad kasėjas neįgyvendina jokių išteklių naudojimo apribojimų, panaudodamas visą savo veiklos skaičiavimo galią.
Šaltinis: KOI saugumas
Kita „Tigerjack“ kenkėjiškų plėtinių kategorija („CPPPlayGround“Ar httpformatir Pythonformat) Gaukite „JavaScript“ kodą iš kieto koduoto adreso ir vykdykite jį pagrindiniame kompiuteryje.
Nuotolinis adresas (ab498.pythonanywhere.com/static/in4.js) apklaustas kas 20 minučių, leidžiantis vykdyti savavališką kodą, neatnaujinant plėtinio.
Šaltinis: KOI saugumas
Tyrėjai komentuoja, kad, skirtingai nuo šaltinio kodo pavogimo ir kriptovaliutų kasyklos, šis trečiasis tipas yra daug grėsmingas, nes jie pasižymi išplėstine funkcija.
„„ TigerJack “gali dinamiškai perkelti bet kokį kenksmingą naudingą krovinį neatnaujindamas pratęsimo-pažymėjimo įgaliojimus ir API raktus, diegdama išpirkos programą, panaudodama pažeistas kūrėjų mašinas kaip įėjimo taškus į korporatyvinius tinklus, švirkščiant užpakalinius duris į jūsų projektus arba stebėdami savo veiklą realiuoju laiku.“ – Koi saugumas
Šaltinis: KOI saugumas
Tyrėjai teigia, kad „Tigerjack“ yra „koordinuota daugiapakopė operacija“, paslėpta nepriklausomų kūrėjų, turinčių patikimą foną, iliuziją, tokią kaip „GitHub“ saugyklos, prekės ženklo kūrimas, išsamūs funkcijų sąrašai ir pratęsimo pavadinimai, primenantys teisėtus įrankius.
„Koi Security“ pranešė apie savo išvadas „OpenVSX“, tačiau registro prižiūrėtojas neatsakė paskelbimo laiku, o du plėtinius liko atsisiųsti.
Kūrėjams, naudojantiems platformą programinės įrangos šaltiniui, patariama atsisiųsti tik paketus iš patikimų ir patikimų leidėjų.
Prisijunkite prie Pažeidimo ir puolimo modeliavimo viršūnių susitikimas ir patirti Saugumo patvirtinimo ateitis. Išgirsti iš geriausių ekspertų ir pažiūrėkite, kaip AI varomas Bas Keičiasi pažeidimo ir puolimo modeliavimas.
Nepraleiskite įvykio, kuris suformuos jūsų saugumo strategijos ateitį
