Tin tặc đang bắt đầu nhắm mục tiêu vào thị trường ứng dụng VSCode (VSCode Marketplace) của Microsoft, với việc tải lên ba tiện ích (extension) Visual Studio độc hại hiện đã có 46.600 lượt tải xuống.
Theo Check Point, công ty đã phát hiện và báo cáo các tiện ích độc hại cho Microsoft, phần mềm độc hại này đã cho phép những kẻ đe dọa lấy cắp thông tin xác thực, thông tin hệ thống và thiết lập một remote shell trên máy của nạn nhân.
Các tiện ích độc hại đã được phát hiện và báo cáo vào ngày 4 tháng 5 năm 2023, sau đó đã bị xóa khỏi VSCode Marketplace vào ngày 14 tháng 5 năm 2023.
Các nhà phát triển phần mềm đang sử dụng các tiện ích độc hại này cần phải xóa chúng ngay khỏi hệ thống của mình theo cách thủ công và tiến hành quét toàn bộ máy để phát hiện và loại bỏ các tàn dư do mã độc để lại.
Các tiện ích độc hại trên thị trường ứng dụng VSCode
Visual Studio Code (VSC) là công cụ chỉnh sửa mã nguồn do Microsoft phát hành và có một tỉ lệ đáng kể các nhà phát triển phần mềm trên toàn thế giới sử dụng.
Microsoft cũng điều hành một thị trường tiện ích mở rộng cho IDE được gọi là VSCode Marketplace, cung cấp hơn 50.000 tiện ích giúp mở rộng chức năng của ứng dụng và cung cấp nhiều tùy chọn tùy chỉnh hơn.
Ba tiện ích độc hại đã được phát hiện bao gồm:
'Theme Darcula dark' - Được mô tả là "giúp cải thiện tính nhất quán của màu Dracula trên VS Code", được sử dụng để đánh cắp các thông tin cơ bản về hệ thống của nhà phát triển, bao gồm tên máy chủ, hệ điều hành, nền tảng CPU, tổng bộ nhớ và thông tin về CPU. Tiện ích này đã có hơn 45.000 lượt tải xuống.
Tiện ích độc hại Dracula trên VSCode Marketplace (Check Point)
'python-vscode' - Tiện ích đã được tải xuống 1.384 lần trong khi nó không có mô tả và tên người tải lên là 'testUseracc1111'. Phân tích mã nguồn cho thấy đây là một C# shell injector có khả năng thực thi mã hoặc lệnh trên máy của nạn nhân.
'prettiest java' - Dựa vào tên và mô tả của tiện ích này, nó có khả năng được tạo ra để bắt chước công cụ định dạng mã phổ biến 'prettier-java'. Trên thực tế, nó đã đánh cắp thông tin đăng nhập hoặc token xác thực đã lưu từ Discord và Discord Canary, Google Chrome, Opera, Brave Browser và Yandex Browser, sau đó gửi chúng cho những kẻ tấn công qua webhook của Discord. Tiện ích này đã có 278 lượt cài đặt.
Check Point cũng phát hiện nhiều tiện ích đáng ngờ, không thể xác định chắc chắn là độc hại nhưng chúng thể hiện hành vi không an toàn như tải mã (code) từ kho lưu trữ riêng tư hoặc tải xuống tệp.
Rủi ro từ các kho lưu trữ phần mềm
Các kho lưu trữ phần mềm cho phép người dùng đóng góp, như NPM và PyPi, đã nhiều lần được chứng minh là có rủi ro khi sử dụng vì chúng đã trở thành mục tiêu phổ biến của các tác nhân đe dọa.
Mặc dù VSCode Marketplace mới bắt đầu được nhắm mục tiêu, nhưng AquaSec đã chứng minh rằng việc tải các tiện ích mở rộng độc hại lên VSCode Marketplace là khá dễ dàng và đã đưa ra một số trường hợp rất đáng ngờ. Tuy nhiên, họ vẫn chưa tìm thấy bất kỳ phần mềm độc hại nào.
Các trường hợp được Check Point phát hiện cho thấy các tác nhân đe dọa đang cố gắng lây nhiễm cho các nhà phát triển Windows thông qua các phần mềm độc hại được tải lên, giống như chúng đã làm trong các kho lưu trữ phần mềm khác như NPM và PyPI.
Người dùng VSCode Marketplace và các kho lưu trữ cho phép người dùng đóng góp chỉ nên cài đặt tiện ích từ các nhà phát hành đáng tin cậy có nhiều lượt tải xuống và xếp hạng cộng đồng, xem xét cẩn thận đánh giá của người dùng và kiểm tra mã nguồn của nó trước khi cài đặt.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình duyệt web Safari để giải quyết ba lỗ hổng zero-day mới đang bị khai thác trong thực tế
Tín nhiệm mạng | Một đối tượng người Nga đã bị Bộ Tư pháp Mỹ (DoJ) buộc tội và truy tố vì đã phát động các cuộc tấn công ransomware nhằm vào "hàng nghìn nạn nhân" trong nước và trên toàn thế giới.
Tín nhiệm mạng | App Store đã ngăn chặn các giao dịch, trị giá hơn 2 tỷ đô la, được gắn thẻ là có khả năng gian lận và chặn gần 1,7 triệu lượt tải lên ứng dụng do vi phạm chính sách về quyền riêng tư, bảo mật và nội dung vào năm 2022
Tín nhiệm mạng | Discord đang thông báo cho người dùng về sự cố vi phạm dữ liệu đã xảy ra sau khi tài khoản của bộ phận hỗ trợ bên thứ ba bị xâm phạm.
Tín nhiệm mạng | Tin tặc đang lạm dụng khai thác một lỗ hổng bảo mật đã được khắc phục gần đây trong plugin WordPress Advanced Custom Fields sau khi bằng chứng chứng minh (PoC) khai thác của lỗ hổng được công khai.
Tín nhiệm mạng | Ngày càng nhiều hoạt động ransomware đang sử dụng mã nguồn phần mềm tống tiền Babuk để tạo ra công cụ mã hóa Linux nhắm mục tiêu vào các máy chủ VMware ESXi.