O suită de 10 extensii VSCode false găsite în magazinul Microsoft pentru cod Visual Studio vizează programatorii într-o campanie de minare de criptomonede ce evită detecția.

Utilitarele pretind a fi legitime și de pe 4 aprilie, când au început să fie publicate în Visual Studio Marketplace, au acumulat împreună peste 800.000 de instalări.

Extensiile VSCode ajută programatorii cu instrumente suplimentare și funcționalități extinse în cadrul editorului de cod Microsoft Visual Studio Code și pot fi descărcate din marketplace-ul oficial al companiei.

Cibercriminalii din spatele campaniei au depus efort pentru a evita detecția, folosind un script PowerShell care dezactivează protecțiile din Windows, stabilește persistența și instalează XMRig – un program de minat criptomoneda Monero.

Deși riscul unor extensii VSCode malițioase poate fi semnificativ, cum ar fi compromiterea de informații sensibile, în cazul de față pericolul este deturnarea resurselor hardware pentru procesul de minare.

Descoperirea extensiilor malițioase

Cele zece extensii malițioase au fost descoperite de Yuval Ronen de la ExtensionTotal, un serviciu de detecție a extensiilor și pachetelor de software cu risc de securitate.

Expertul spune că extensiile au fost depuse în Visual Studio Marketplace sub patru nume de autor diferite.

Trei dintre cele mai populare au acumulat un număr impresionant de instalări pentru o perioadă atât de scurtă, apropiindu-se de un milion – sugerând că cibercriminalii au ridicat cifra artificial pentru a da credibilitate extensiilor.

• Prettier — Code for VSCode (prettier) – 486.000 instalări
• Discord Rich Presence for VS Code (Mark H) – 189.000 instalări
• Rojo — Roblox Studio Sync (evaera) – 117.000
• Solidity Compiler (VSCode Developer) – 1.3K instalări
• Claude AI (Mark H)
• Golang Compiler (Mark H)
• ChatGPT Agent for VSCode (Mark H)
• HTML Obfuscator (Mark H)
• Python Obfuscator for VSCode (Mark H)
• Rust Compiler for VSCode (Mark H)

Pentru a păstra aparența unui produs legitim, toate extensiile de mai sus încearcă să instaleze varianta originală pe care o imită.

În acest fel, utilizatorii beneficiază de funcționalitatea așteptată și nu devin suspicioși referitor la o posibilă activitate malițioasă.

Conform lui Yuval Ronen, toate extensiile VSCode malițioase operau în același fel, descărcând într-o fereastră ascunsă un script PowerShell de pe serverul de comandă și control (C2) aflat la asdf11[.]xyz/.

Yuval Ronen spune că deși extensiile afișau autori diferiți, toate aveau același cod, comunicau cu același server C2 și executau același script.

Scriptul PowerShell avea un rol crucial, fiind responsabil pentru o serie de acțiuni menite să infiltreze payload-ul final fără a fi descoperit:

• dezactivarea mecanismelor de protecție, precum serviciile Windows Update și Update Medic, asigurându-se că sistemul nu poate primi actualizări sau patch-uri care ar putea contracara malware-ul
• persistența pe sistem prin crearea unor sarcini programate sub numele “OnedriveStartup” în Windows Registry pentru a permite malware-ului să ruleze automat la fiecare pornire a sistemului
• evitarea detecției: directorul de lucru al malware-ului este adăugat pe lista de excluderi în Windows Defender
• escaladarea privilegiilor: dacă scriptul PowerShell nu are drepturi administrative la execuție, utilizează tehnica DLL hijacking prin folosirea fișierului de sistem ComputerDefaults.exe pentru a rula un DLL malițios (MLANG.dll) cu drepturile necesare execuției payload-ului Launcher.exe

Microsoft a eliminat toate cele 10 extensii malițioase din catalogul Visual Studio Marketplace, dar campania reprezintă exemplul unui atac mai complex asupra programatorilor.

Utilizatorii pot căuta dacă una dintre extensiile malițioase se regăsește pe sistem căutându-le după nume în panoul de extensii din VSCode și dezinstalându-le.

Se recomandă o scanare a sistemului și verificarea directoarelor incluse pe lista de excluderi a aplicației de securitate.

De asemenea, utilizatorii ar trebui să examineze lista sarcinilor programate în Task Scheduler și să le elimine pe cele suspecte, și să șteargă din registrul Windows intrările legate de scripturile malițioase.

Raportul ExtensionTotal include un set de indicatori pentru detecția componentelor folosite în campanie (scripturi, executabile, DLL-uri) și serverele de comandă și control (asdf11[.]xyz și myaunet[.]su).