Malwarová lavina v kódu: Jak WhiteCobra zneužívá VSCode doplňky
Zdroj: Shutterstock
Vývojářská komunita čelí nové hrozbě. Bezpečnostní experti odhalili dvě desítky škodlivých rozšíření v oficiálním Visual Studio Marketplace i v otevřeném Open VSX registru. Za útokem stojí skupina označená jako WhiteCobra, která se zaměřuje na vývojáře a držitele kryptoměn.
Vietnamští hackeři zneužívají prohlížečová rozšíření k útokům na podnikové účty
Během uplynulého týdne odhalili bezpečnostní experti hned 24 škodlivých rozšíření, která byla k nalezení ve Visual Studio Marketplace i v Open VSX Registry. Zprávu přinesl portál BleepingComputer s odkazem na výzkumníky, kteří incident monitorovali. Útočníci se zaměřili především na vývojáře a držitele kryptoměn – cílovou skupinu, u níž se očekává, že má v počítači uložené přístupové údaje, citlivé soubory nebo přímo kryptopeněženky.
Za celou kampaní stojí skupina označovaná jako WhiteCobra. Podle odborníků neváhala nahrazovat odstraněné škodlivé doplňky novými, což ukazuje na dobře připravenou infrastrukturu i odhodlání útočníků.
Jak útok fungoval
Po nainstalování falešných rozšíření se do systému Windows dostával Lumma Stealer – známý infostealer, který dokáže získávat uložená hesla, platební údaje z prohlížeče, session cookies i soubory obsahující citlivé informace. V případě macOS šlo o Mach-O binární soubor, který spouštěl odlišný, dosud méně zdokumentovaný malware.
Podle výzkumníků se infostealer snažil především o přístup k informacím z kryptopeněženek a k datům umožňujícím další zneužití účtů.
Proč právě open-source registry
Marketplace i Open VSX Registry patří k populárním místům, kde vývojáři hledají doplňky pro práci. Visual Studio Marketplace je součástí ekosystému Microsoftu a nabízí přes 48 tisíc rozšíření pro Visual Studio a VS Code. Open VSX Registry je naopak otevřenou platformou, která si získává oblibu především v enterprise prostředí a u editorů kompatibilních s VS Code, jako jsou Eclipse Theia nebo Gitpod.
Díky masové oblibě obou platforem mají útočníci jedinečnou možnost dostat svůj kód k tisícům vývojářů a následně i do firemních prostředí.
Zdroj: Shutterstock
Reakce a doporučení
Jedním z prvních, kdo na problém upozornil, byl vývojář a expert na Ethereum Zak Cole, který sám patřil mezi oběti. Spolu s výzkumníky ze skupiny Koi pomohl identifikovat a nahlásit škodlivé rozšíření.
Pro uživatele platí jednoduché doporučení – stahovat a instalovat doplňky pouze od prověřených autorů, sledovat počet stažení a hodnocení, a především používat antivirovou ochranu i na vývojářských strojích. Firmy by pak měly mít zavedené interní procesy pro kontrolu používaných rozšíření, protože útoky podobného typu se zjevně nebudou opakovat jen jednou.
Zdroje:
