- 21,295
- 46
- 8 Ноя 2022
Microsoft удалила зловреды из своего магазина, но альтернативные площадки игнорируют угрозу.
Некоторые расширения для Visual Studio Code , распространяемые через открытый репозиторий OpenVSX, до сих пор содержат вредоносный код, направленный на кражу криптовалюты и компрометацию машин разработчиков. За рассылкой стоит группа TigerJack, которая использует фальшивые учётные записи и маскирует свои инструменты под легитимные плагины с полноценным описанием, репозиториями на GitHub и продуманным брендингом.
На платформе OpenVSX по-прежнему доступны два вредоносных расширения , ранее удалённые из официального магазина Microsoft после того, как их суммарно скачали более 17 тысяч раз. При этом те же самые плагины уже были повторно загружены в Visual Studio Code под новыми именами, что говорит о систематическом характере атаки. Весь этот набор вредоносных инструментов направлен в первую очередь на пользователей редакторов, совместимых с VSCode, но не использующих оригинальный магазин Microsoft — таких как Cursor и Windsurf.
Специалисты из Koi Security установили , что расширение «C++ Playground» после установки начинает следить за редактированием исходников, регистрируя каждое изменение в C++-файлах через обработчик onDidChangeTextDocument. С интервалом примерно в полсекунды оно отправляет обновлённый текст на внешние серверы, позволяя злоумышленникам перехватывать код в режиме реального времени.
Второе расширение — «HTTP Format» — внешне работает штатно, но одновременно запускает скрытую майнинговую программу CoinIMP. Она использует жёстко прописанные настройки и логины, не ограничивая при этом потребление ресурсов — вредонос нагружает процессор на максимум для нелегальной добычи криптовалюты.
Ещё одна категория вредоносных плагинов, включая cppplayground, httpformat и pythonformat, подключается каждые 20 минут к удалённому адресу ab498.pythonanywhere.com/static/in4.js и исполняет JavaScript-код, загруженный с этого сервера. Такой механизм позволяет злоумышленникам динамически передавать любые полезные нагрузки без необходимости обновления самого расширения.
Это делает подобный подход особенно опасным — с его помощью можно не только воровать ключи доступа и учётные данные, но и развернуть шифровальщик, встроить закладки в проект или использовать машину разработчика как точку входа во внутреннюю сеть компании.
По оценке Koi Security, действия TigerJack являются частью скоординированной операции с множественными аккаунтами. Все вредоносные расширения публикуются под видом разных авторов, каждый из которых якобы представляет надёжного разработчика. Публикуемые профили снабжаются открытым кодом, подробным описанием функций и названиями, схожими с настоящими популярными инструментами.
О всех находках уже было сообщено администраторам OpenVSX, однако на момент публикации ответа от команды поддержки получено не было, и вредоносные плагины оставались в открытом доступе.
Некоторые расширения для Visual Studio Code , распространяемые через открытый репозиторий OpenVSX, до сих пор содержат вредоносный код, направленный на кражу криптовалюты и компрометацию машин разработчиков. За рассылкой стоит группа TigerJack, которая использует фальшивые учётные записи и маскирует свои инструменты под легитимные плагины с полноценным описанием, репозиториями на GitHub и продуманным брендингом.
На платформе OpenVSX по-прежнему доступны два вредоносных расширения , ранее удалённые из официального магазина Microsoft после того, как их суммарно скачали более 17 тысяч раз. При этом те же самые плагины уже были повторно загружены в Visual Studio Code под новыми именами, что говорит о систематическом характере атаки. Весь этот набор вредоносных инструментов направлен в первую очередь на пользователей редакторов, совместимых с VSCode, но не использующих оригинальный магазин Microsoft — таких как Cursor и Windsurf.
Специалисты из Koi Security установили , что расширение «C++ Playground» после установки начинает следить за редактированием исходников, регистрируя каждое изменение в C++-файлах через обработчик onDidChangeTextDocument. С интервалом примерно в полсекунды оно отправляет обновлённый текст на внешние серверы, позволяя злоумышленникам перехватывать код в режиме реального времени.
Второе расширение — «HTTP Format» — внешне работает штатно, но одновременно запускает скрытую майнинговую программу CoinIMP. Она использует жёстко прописанные настройки и логины, не ограничивая при этом потребление ресурсов — вредонос нагружает процессор на максимум для нелегальной добычи криптовалюты.
Ещё одна категория вредоносных плагинов, включая cppplayground, httpformat и pythonformat, подключается каждые 20 минут к удалённому адресу ab498.pythonanywhere.com/static/in4.js и исполняет JavaScript-код, загруженный с этого сервера. Такой механизм позволяет злоумышленникам динамически передавать любые полезные нагрузки без необходимости обновления самого расширения.
Это делает подобный подход особенно опасным — с его помощью можно не только воровать ключи доступа и учётные данные, но и развернуть шифровальщик, встроить закладки в проект или использовать машину разработчика как точку входа во внутреннюю сеть компании.
По оценке Koi Security, действия TigerJack являются частью скоординированной операции с множественными аккаунтами. Все вредоносные расширения публикуются под видом разных авторов, каждый из которых якобы представляет надёжного разработчика. Публикуемые профили снабжаются открытым кодом, подробным описанием функций и названиями, схожими с настоящими популярными инструментами.
О всех находках уже было сообщено администраторам OpenVSX, однако на момент публикации ответа от команды поддержки получено не было, и вредоносные плагины оставались в открытом доступе.
- Источник новости
- www.securitylab.ru
