Geliştiricileri editörleri aracılığıyla hedef alan bir tedarik zinciri saldırısında sahte bir Visual Studio Code uzantısı kullanıldı.
Prettier-vscode-plus adı verilen ve güvenilir Prettier formatlayıcısı gibi görünen hileli uzantı, yayından kaldırılmadan önce resmi VSCode Marketplace’te kısa bir süre göründü.
Kurulduktan sonra, biwwwwwwwwwww hesabı altındaki vscode adlı GitHub deposundan aşamalı komut dosyalarını aldı.
.webp)
Uzantı, normal geliştirici iş akışlarına uyum sağladı ve projeler açıldığında yükünü tetikledi. Perde arkasında, ilk aşamadaki damlalık görevi gören, gizlenmiş bir VBScript dosyasını getirdi.
Bu betik, geçici klasöre bir PowerShell yükleyicisi yazdı ve tüm pencereleri kullanıcıdan gizlerken onu yürütme politikası atlama bayraklarıyla çalıştırdı.
Hunt.io güvenlik analistleri, şüpheli VBScript indirmelerini vscode deposuna kadar takip edip bunları kısa ömürlü pazar listesine bağladıktan sonra etkinliği tespit etti.
Etki ciddidir ve son yük, Anivia yükleyici olarak bilinen bir ara bileşen aracılığıyla dağıtılan tam bir uzaktan erişim aracı olan OctoRAT’tır.
Birlikte kod yürütmeyi, tarayıcılardan ve cüzdanlardan veri hırsızlığını ve geliştirici sistemlerinde uzaktan masaüstü kontrolünü mümkün kılarlar.
Uzantının yalnızca birkaç kurulumu olsa da hedefler, kaynak koduna ve üretim sistemlerine erişimle birlikte yüksek değere sahip.
Enfeksiyon zinciri ve yükleyici davranışı
Bulaşma, geçici yolda rastgele bir PowerShell dosyası oluşturan ve onu Base64 kodlu bir AES yüküyle dolduran bir VBScript damlalığıyla başlıyor.
.webp)
Komut dosyası, yükleyiciyi kullanıcı istemleri olmadan çalıştırmak için WScript.Shell gibi COM nesnelerini kullanır. Daha sonra OctoRAT tarafından belirlenen kalıcılık görevinin basitleştirilmiş bir görünümü şöyle görünür:
schtasks.exe /create /tn “WindowsUpdate” /tr “” /sc dakika /ay 1 /f
PowerShell yükleyicisi, CBC modunda AES-256’yı kullanarak yerleşik blobun şifresini çözer ve sonucu doğrudan bellekte yürütür.
Anivia daha sonra işi devralır, şifrelenmiş yükünü bir bayt dizisinde saklar ve taşınabilir bir yürütülebilir dosyanın şifresini çözmek için sabit kodlu bir anahtar kullanır.
Bu veri, güvenilir vbc.exe sürecine süreç boşaltma yoluyla enjekte edilir ve bu, ortak uç nokta kontrollerinin önlenmesine yardımcı olur.
.webp)
Buradan OctoRAT başlatılır, tekrar başlatma için WindowsUpdate görevini ayarlar ve saldırganın kontrol sunucularına şifrelenmiş bir komut kanalı açar.
Bu eksiksiz teknik döküm, sahte bir uzantının birkaç adımda nasıl tam bir izinsiz giriş gerçekleştirebileceğini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
