Peneliti cybersecurity telah menemukan dua ekstensi jahat di pasar Visual Studio Code (VSCODE) yang dirancang untuk menggunakan ransomware yang sedang dikembangkan oleh penggunanya.
Perpanjangan, bernama “Ahban.shiba” dan “Ahban.Cychelloworld,” sejak itu telah diturunkan oleh pemelihara pasar.
Kedua ekstensi, per ReversingLabs, menggabungkan kode yang dirancang untuk memohon perintah PowerShell, yang kemudian mengambil muatan PowerShell-Script dari server perintah-dan-kontrol (C2) dan mengeksekusinya.
Payload diduga ransomware dalam pengembangan tahap awal, hanya mengenkripsi file dalam folder yang disebut “Testshiba” di desktop Windows korban.
Setelah file dienkripsi, PowerShell Payload menampilkan pesan, yang menyatakan “File Anda telah dienkripsi. Bayar 1 Shibacoin ke Shibawallet untuk memulihkannya.”
Namun, tidak ada instruksi lain atau alamat dompet cryptocurrency yang diberikan kepada para korban, indikasi lain bahwa malware kemungkinan sedang dikembangkan oleh para aktor ancaman.
Pengembangan ini terjadi beberapa bulan setelah perusahaan keamanan rantai pasokan perangkat lunak menandai beberapa ekstensi berbahaya, beberapa di antaranya disameren sebagai zoom, tetapi menyimpan fungsionalitas untuk mengunduh muatan tahap kedua yang tidak diketahui dari server jarak jauh.
Pekan lalu, Socket merinci paket Maven jahat yang menyamar sebagai Perpustakaan OAuth ScribeJava-Core yang secara diam-diam memanen dan mengeksfiltrasi oauth kredensial pada hari kelima belas setiap bulan, menyoroti mekanisme pemicu berbasis waktu yang dirancang untuk menghindari deteksi.
Perpustakaan diunggah ke Maven Central pada 25 Januari 2024. Ini terus tersedia untuk diunduh dari repositori.
“Penyerang menggunakan kesalahan ketik – menciptakan nama yang hampir identik untuk menipu pengembang agar menambahkan paket berbahaya,” kata peneliti keamanan Kush Pandya. “Menariknya, paket jahat ini memiliki enam paket dependen.”
“Semuanya adalah paket yang mengetik yang sah tetapi berbagi grupid yang sama (io.github.leetcrunch) alih -alih namespace asli (com.github.scribejava).”
Dalam mengadopsi pendekatan ini, idenya adalah untuk meningkatkan legitimasi yang dirasakan perpustakaan jahat, sehingga meningkatkan peluang bahwa pengembang akan mengunduh dan menggunakannya dalam proyek mereka.
