Malafide Visual Studio Code-extensies werden ontdekt op de VSCode-marktplaats die sterk verhulde PowerShell-payloads downloaden om ontwikkelaars en cryptovalutaprojecten te targeten in supply chain-aanvallen.

In een rapport van Reversing Labs geven onderzoekers aan dat de kwaadaardige extensies voor het eerst in oktober op de VSCode-marktplaats verschenen.

“Gedurende oktober 2024 zag het RL-onderzoeksteam een nieuwe golf van kwaadaardige VSCode-extensies met downloader-functionaliteit — allemaal onderdeel van dezelfde campagne,” vermeldt het rapport van Reversing Labs.

“De gemeenschap werd voor het eerst in oktober van deze campagne op de hoogte gebracht, en sindsdien is het team vastberaden geweest in het volgen ervan.”

Een extra pakket gericht op de crypto-gemeenschap en onderdeel van deze campagne werd aangetroffen op NPM.

Veiligheidsonderzoeker Amit Assaraf publiceerde vandaag ook een rapport met overlappende bevindingen, die naar dezelfde activiteit wijzen.

## Kwaadaardige VSCode-extensies

De campagne bestaat uit 18 kwaadaardige extensies gericht op voornamelijk investeerders in cryptovaluta en gebruikers die op zoek zijn naar productiviteitstools zoals Zoom.

Op de VSCode-marktplaats werden de volgende extensies ingediend:

– EVM.Blockchain-Toolkit
– VoiceMod.VoiceMod
– ZoomVideoCommunications.Zoom
– ZoomINC.Zoom-Workplace
– Ethereum.SoliditySupport
– ZoomWorkspace.Zoom (drie versies)
– ethereumorg.Solidity-Language-for-Ethereum
– VitalikButerin.Solidity-Ethereum (twee versies)
– SolidityFoundation.Solidity-Ethereum
– EthereumFoundation.Solidity-Language-for-Ethereum (twee versies)
– SOLIDITY.Solidity-Language
– GavinWood.SolidityLang (twee versies)
– EthereumFoundation.Solidity-for-Ethereum-Language

Op npm uploaden de bedreigingsactoren vijf versies van het pakket ‘etherscancontacthandler’ versie 1.0.0 tot 4.0.0, samen 350 keer gedownload.

Om de schijnbare legitimiteit van de pakketten te vergroten, voegden de bedreigingsactoren nepbeoordelingen toe en verhoogden zij hun installatieaantallen om ze betrouwbaarder te laten lijken.

ReversingLabs meldt dat alle extensies dezelfde kwaadaardige functionaliteit hadden en ontworpen waren om verhulde tweede fase-payloads te downloaden van verdachte domeinen.

Twee van de kwaadaardige domeinen die er legitiem uitzagen waren ‘microsoft-visualstudiocode[.]com’ en ‘captchacdn[.]com,’ terwijl andere TLD’s zoals ‘.lat’ en ‘.ru’ gebruikten.

Noch ReversingLabs noch Assaraf hebben de tweede fase-payload geanalyseerd, dus de functies zijn onbekend, maar de rode vlaggen rondom het zijn talrijk.

BleepingComputer ontdekte dat de secundaire payloads die door deze VSCode-extensies worden gedownload, zwaar verhulde Windows CMD-bestanden zijn die een verborgen PowerShell-opdracht lanceren.

De verborgen PowerShell-opdracht zal AES-versleutelde strings in extra CMD-bestanden ontsleutelen om verdere payloads op het gecompromitteerde systeem te laten vallen en uit te voeren.

Een van de payloads die werd gedropt bij BleepingComputer-tests was het %temp%MLANG.DLL-bestand, dat als kwaadaardig werd gedetecteerd door VirusTotal in 27/71 antivirus-engines.

De onderzoekers verschaften een gedetailleerde lijst van de kwaadaardige pakketten en VSCode-extensies met hun SHA1-hashes aan het einde van hun rapport, om te helpen bij het identificeren en verminderen van supply chain-compromissen.

Wanneer je de bouwstenen van je softwareproject downloadt, zorg er dan voor dat je de veiligheid en legitimiteit van de code valideert en dat het geen klonen zijn van populaire plug-ins en afhankelijkheden.

Helaas zijn er meerdere recente voorbeelden van kwaadaardige npm-pakketten die resulteerden in zeer schadelijke supply chain-compromissen en VSCode-extensies die gerichte gebruikerswachtwoorden en geopende remote shells op het hostsysteem tot gevolg hadden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----