Siber güvenlik araştırmacıları, Visual Studio Kodu (VSCODE) pazarında, kullanıcılarına geliştirilen fidye yazılımlarını dağıtmak üzere tasarlanmış iki kötü amaçlı uzantıyı ortaya çıkardılar.
“Ahban.shiba” ve “ahban.cychelloworld” adlı uzantılar o zamandan beri piyasa bakıcıları tarafından kaldırıldı.
ReversingLabs başına hem uzantılar, bir PowerShell komutunu çağırmak için tasarlanmış kodu birleştirir, bu da bir komut ve kontrol (C2) sunucusundan bir PowerShell-script yükü alır ve yürütür.
Yükün erken aşama geliştirmede fidye yazılımı olduğundan şüpheleniliyor, yalnızca kurbanın Windows masaüstünde “Testshiba” adlı bir klasörde dosyaları şifreliyor.
Dosyalar şifrelendikten sonra, PowerShell yükü “Dosyalarınız şifrelendi.
Bununla birlikte, kurbanlara başka hiçbir talimat veya kripto para cüzdanı adresleri verilmemiştir, bu da kötü amaçlı yazılımların tehdit aktörleri tarafından geliştirildiği başka bir gösterge.
Geliştirme, yazılım tedarik zinciri güvenlik firmasının, bazıları zoom olarak görünen, ancak uzak bir sunucudan bilinmeyen bir ikinci aşamalı yük indirmek için işlevselliği belirleyen birkaç kötü niyetli uzantıyı işaretlemesinden birkaç ay sonra geliyor.
Geçen hafta, Socket, her ayın on beşinci gününde OAuth kimlik bilgilerini gizlice hasat eden ve yayan Scribejava-çekirdekli Oauth kütüphanesini taklit eden kötü niyetli bir maven paketi detaylandırdı ve tespitten kaçınmak için tasarlanmış zamana dayalı bir tetik mekanizmasını vurguladı.
Kütüphane 25 Ocak 2024’te Maven Central’a yüklendi. Depodan indirilebilir.
Güvenlik araştırmacısı Kush Pandya, “Saldırganlar yazım hatası kullandı – geliştiricileri kötü niyetli paketi eklemek için kandırmak için neredeyse aynı bir isim oluşturdu.” Dedi. “İlginç bir şekilde, bu kötü niyetli paketin altı bağımlı paket var.”
“Hepsi meşru paketler yazım hatasıdır, ancak gerçek ad alanı (com.github.scribejava) yerine aynı groupID’yi (io.github.leetcrunch) paylaşır.”
Bu yaklaşımı benimserken, fikir kötü amaçlı kütüphanenin algılanan meşruiyetini artırmak, böylece bir geliştiricinin projelerinde indirme ve kullanma şansını artırmaktır.