🔥 Uỷ ban nhân dân thị trấn Bình Minh đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Công tác xã hội tỉnh Quảng Ninh đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Lộc Bảo, Bảo Lâm, Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Công an tỉnh Bà Rịa – Vũng Tàu đã đăng ký tín nhiệm. 🔥                    🔥 Công an tỉnh Phú Thọ đã đăng ký tín nhiệm. 🔥                   

Phát hiện các tiện ích độc hại trên VSCode Marketplace có khả năng đánh cắp mật khẩu và thực thi mã

19/05/2023

Tin tặc đang bắt đầu nhắm mục tiêu vào thị trường ứng dụng VSCode (VSCode Marketplace) của Microsoft, với việc tải lên ba tiện ích (extension) Visual Studio độc hại hiện đã có 46.600 lượt tải xuống.

Theo Check Point, công ty đã phát hiện và báo cáo các tiện ích độc hại cho Microsoft, phần mềm độc hại này đã cho phép những kẻ đe dọa lấy cắp thông tin xác thực, thông tin hệ thống và thiết lập một remote shell trên máy của nạn nhân.

Các tiện ích độc hại đã được phát hiện và báo cáo vào ngày 4 tháng 5 năm 2023, sau đó đã bị xóa khỏi VSCode Marketplace vào ngày 14 tháng 5 năm 2023.

Các nhà phát triển phần mềm đang sử dụng các tiện ích độc hại này cần phải xóa chúng ngay khỏi hệ thống của mình theo cách thủ công và tiến hành quét toàn bộ máy để phát hiện và loại bỏ các tàn dư do mã độc để lại.

Các tiện ích độc hại trên thị trường ứng dụng VSCode

Visual Studio Code (VSC) là công cụ chỉnh sửa mã nguồn do Microsoft phát hành và có một tỉ lệ đáng kể các nhà phát triển phần mềm trên toàn thế giới sử dụng.

Microsoft cũng điều hành một thị trường tiện ích mở rộng cho IDE được gọi là VSCode Marketplace, cung cấp hơn 50.000 tiện ích giúp mở rộng chức năng của ứng dụng và cung cấp nhiều tùy chọn tùy chỉnh hơn.

Ba tiện ích độc hại đã được phát hiện bao gồm:

'Theme Darcula dark' - Được mô tả là "giúp cải thiện tính nhất quán của màu Dracula trên VS Code", được sử dụng để đánh cắp các thông tin cơ bản về hệ thống của nhà phát triển, bao gồm tên máy chủ, hệ điều hành, nền tảng CPU, tổng bộ nhớ và thông tin về CPU. Tiện ích này đã có hơn 45.000 lượt tải xuống.

Tiện ích độc hại Dracula trên VSCode Marketplace (Check Point)

'python-vscode' - Tiện ích đã được tải xuống 1.384 lần trong khi nó không có mô tả và tên người tải lên là 'testUseracc1111'. Phân tích mã nguồn cho thấy đây là một C# shell injector có khả năng thực thi mã hoặc lệnh trên máy của nạn nhân.

'prettiest java' - Dựa vào tên và mô tả của tiện ích này, nó có khả năng được tạo ra để bắt chước công cụ định dạng mã phổ biến 'prettier-java'. Trên thực tế, nó đã đánh cắp thông tin đăng nhập hoặc token xác thực đã lưu từ Discord và Discord Canary, Google Chrome, Opera, Brave Browser và Yandex Browser, sau đó gửi chúng cho những kẻ tấn công qua webhook của Discord. Tiện ích này đã có 278 lượt cài đặt.

Check Point cũng phát hiện nhiều tiện ích đáng ngờ, không thể xác định chắc chắn là độc hại nhưng chúng thể hiện hành vi không an toàn như tải mã (code) từ kho lưu trữ riêng tư hoặc tải xuống tệp.

Rủi ro từ các kho lưu trữ phần mềm

Các kho lưu trữ phần mềm cho phép người dùng đóng góp, như NPM và PyPi, đã nhiều lần được chứng minh là có rủi ro khi sử dụng vì chúng đã trở thành mục tiêu phổ biến của các tác nhân đe dọa.

Mặc dù VSCode Marketplace mới bắt đầu được nhắm mục tiêu, nhưng AquaSec đã chứng minh rằng việc tải các tiện ích mở rộng độc hại lên VSCode Marketplace là khá dễ dàng và đã đưa ra một số trường hợp rất đáng ngờ. Tuy nhiên, họ vẫn chưa tìm thấy bất kỳ phần mềm độc hại nào.

Các trường hợp được Check Point phát hiện cho thấy các tác nhân đe dọa đang cố gắng lây nhiễm cho các nhà phát triển Windows thông qua các phần mềm độc hại được tải lên, giống như chúng đã làm trong các kho lưu trữ phần mềm khác như NPM và PyPI.

Người dùng VSCode Marketplace và các kho lưu trữ cho phép người dùng đóng góp chỉ nên cài đặt tiện ích từ các nhà phát hành đáng tin cậy có nhiều lượt tải xuống và xếp hạng cộng đồng, xem xét cẩn thận đánh giá của người dùng và kiểm tra mã nguồn của nó trước khi cài đặt.

Nguồn: bleepingcomputer.com.

scrolltop