- Автор темы
- #1
На маркетплейсе Microsoft для Visual Studio Code нашли два вредоносных расширения, которые заражают машины разработчиков стилерами. Малварь умеет делать скриншоты, воровать пароли и криптокошельки, а еще перехватывать браузерные сессии.
Специалисты компании Koi Security обнаружили вредоносные расширения Bitcoin Black и Codo AI, которые маскируются под тему оформления и ИИ-помощника. Оба вредоноса были опубликованы под именем разработчика BigBlack. На момент публикации отчета исследователей Codo AI все еще был доступен в магазине, хотя насчитывал меньше 30 загрузок. У Bitcoin Black счетчик показывал всего одну установку.
По данным экспертов, Bitcoin Black использует событие активации «*», которое срабатывает при каждом действии в VSCode. Также плагин может запускать PowerShell-код.
В старых версиях расширение использовало PowerShell-скрипт для скачивания запароленного архива с полезной нагрузкой. Однако при этом всплывало окно PowerShell, которое могло насторожить пользователя. В более новых версиях вредоноса процесс переехал в bat-скрипт (bat.sh), который вызывает curl для загрузки DLL-файла и исполняемого файла .exe, причем все это происходит в скрытом режиме.
Что касается Codo AI, расширение действительно может помогать пользователю с кодом, используя ChatGPT или DeepSeek, однако помимо этого содержит аналогичную вредоносную составляющую.
Оба расширения содержат легитимный исполняемый файл утилиты Lightshot и вредоносную DLL, которая подгружается посредством DLL Hijacking и разворачивает в системе жертвы инфостилер под именем runtime.exe. Отмечается, что вредоносную DLL обнаруживают только 29 из 72 антивирусов на VirusTotal.
На зараженной машине малварь создает директорию в %APPDATA%\Local\ и папку Evelyn для хранения украденных данных, среди которых: информация о запущенных процессах, содержимое буфера обмена, учетные данные Wi-Fi, данные о системе, скриншоты, список установленных программ и активных процессов.
Чтобы украсть cookie и перехватить пользовательские сессии, вредонос запускает Chrome и Edge в headless-режиме, откуда извлекает сохраненные cookie и захватывает сессии.
Кроме того, скрывающийся в расширениях стилер ворует данные криптовалютных кошельков вроде Phantom, Metamask, Exodus, а также ищет пароли и другие учетные данные.
Представители Microsoft сообщают, что в настоящее время оба вредоносных расширения уже удалены с маркетплейса VSCode.
Специалисты компании Koi Security обнаружили вредоносные расширения Bitcoin Black и Codo AI, которые маскируются под тему оформления и ИИ-помощника. Оба вредоноса были опубликованы под именем разработчика BigBlack. На момент публикации отчета исследователей Codo AI все еще был доступен в магазине, хотя насчитывал меньше 30 загрузок. У Bitcoin Black счетчик показывал всего одну установку.
По данным экспертов, Bitcoin Black использует событие активации «*», которое срабатывает при каждом действии в VSCode. Также плагин может запускать PowerShell-код.
В старых версиях расширение использовало PowerShell-скрипт для скачивания запароленного архива с полезной нагрузкой. Однако при этом всплывало окно PowerShell, которое могло насторожить пользователя. В более новых версиях вредоноса процесс переехал в bat-скрипт (bat.sh), который вызывает curl для загрузки DLL-файла и исполняемого файла .exe, причем все это происходит в скрытом режиме.
Что касается Codo AI, расширение действительно может помогать пользователю с кодом, используя ChatGPT или DeepSeek, однако помимо этого содержит аналогичную вредоносную составляющую.
Оба расширения содержат легитимный исполняемый файл утилиты Lightshot и вредоносную DLL, которая подгружается посредством DLL Hijacking и разворачивает в системе жертвы инфостилер под именем runtime.exe. Отмечается, что вредоносную DLL обнаруживают только 29 из 72 антивирусов на VirusTotal.
На зараженной машине малварь создает директорию в %APPDATA%\Local\ и папку Evelyn для хранения украденных данных, среди которых: информация о запущенных процессах, содержимое буфера обмена, учетные данные Wi-Fi, данные о системе, скриншоты, список установленных программ и активных процессов.
Чтобы украсть cookie и перехватить пользовательские сессии, вредонос запускает Chrome и Edge в headless-режиме, откуда извлекает сохраненные cookie и захватывает сессии.
Кроме того, скрывающийся в расширениях стилер ворует данные криптовалютных кошельков вроде Phantom, Metamask, Exodus, а также ищет пароли и другие учетные данные.
Представители Microsoft сообщают, что в настоящее время оба вредоносных расширения уже удалены с маркетплейса VSCode.