İki kötü amaçlı VSCode Marketplace uzantısı, geliştirme içi fidye yazılımlarının dağıtıldığı ve Microsoft’un inceleme sürecindeki kritik boşlukları ortaya çıkardığı bulundu.
“Ahban.shiba” ve “Ahban.cychelloworld” adlı uzantılar, sonunda mağazadan çıkarılmadan önce sırasıyla yedi ve sekiz kez indirildi.
Uzantıların 27 Ekim 2024 (Ahban.Cychelloworld) ve 17 Şubat 2025 (Ahban.shiba) ‘da VSCode Marketplace’e yüklenmesi, güvenlik inceleme süreçlerini atladığı ve Microsoft’un mağazasında uzun bir süre kalması dikkat çekicidir.
VSCode Marketplace, geliştiricilerin Visual Studio Kodu (VSCODE) için uzantıları bulabileceği, yükleyebileceği ve paylaşabileceği çevrimiçi bir platformdur. Yazılım ve web geliştiricileri, veri bilimcileri ve programcılar tarafından yaygın olarak kullanılmaktadır.
ReversingLabs, iki uzantının uzak bir sunucudan fidye yazılımı olarak hareket eden başka bir PS komut dosyasını indiren ve yürüten bir PowerShell komutu içerdiğini keşfetti.
Fidye yazılımı, yalnızca C: \ Users \%Kullanıcı Adı%\ Desktop \ TestShiba klasöründeki dosyaları şifrelediği ve başka bir dosyaya dokunmadığı için açıkça geliştirme veya bir testtir.
Dosyaları şifrelemesi bittiğinde, komut dosyası “Dosyalarınız şifrelendi. Bunları kurtarmak için Shibawallet’e 1 Shibacoin ödeyin.” Normal fidye yazılımı saldırıları gibi fidye notları veya başka talimatlar verilmez.
.jpg)
Kaynak: Ters Tersine
ReversingLabs, Microsoft’un araştırmacıların bildirdikten sonra VSCode pazarından iki uzantıyı hızla kaldırdığını belirtiyor.
Bununla birlikte, ExtensionTotal Güvenlik Araştırmacısı İtalya Kruk, BleepingComputer’a otomatik tarayıcılarının uzantıları daha önce yakaladığını ve Microsoft’u bir süre önce bilgilendirdiğini ve yanıt almadığını söyledi.
Kruk, Ahban.Cychelloworld’ın ilk yüklemesinde kötü niyetli olmadığını açıklıyor. 24 Kasım 2024’te VSCode Marketplace’de kabul edilen ikinci gönderim olan 0.0.2 sürümünde fidye yazılımı kodunu ekledi.
Kruk, BleepingComputer’a verdiği demeçte, “Ahban.cychelloworld’i 25 Kasım 2024’te Microsoft’a tarayıcımız tarafından oluşturulan otomatik bir rapor aracılığıyla bildirdik.”
Diyerek şöyle devam etti: “Rahatsız edici uzantı için az sayıda yükleme nedeniyle Microsoft’un incelemesine öncelik vermemesi mümkündür.”
O zamandan beri, Ahban.Cychelloworld Extension’ın hepsi kötü amaçlı kodu içeren ve hepsi Microsoft’un mağazasında kabul edilen beş sürüm daha vardı.
Uzantıların uzaktan PowerShell komut dosyalarını indirip yürüttüğü ve neredeyse dört ay boyunca tespit edilmeyebilmesi, Microsoft’un inceleme sürecinde bir boşluk gösteriyor.
Bu durumda, Microsoft aylarca tepki verememesine rağmen, şirket son zamanlarda tam tersini yaptı ve şüpheli gizlenmiş kod için bildirildikten sonra 9 milyon kullanıcı tarafından çok hızlı bir şekilde kullanılan VSCode temalarını kaldırdı.
VSCODE temaları gizlenmiş JavaScript kullanmamalı olsa da, malzeme teması – ücretsiz ‘ve’ Malzeme Tema Simgeleri – Ücretsiz ‘uzantılarının daha sonra kötü niyetli olmadığı kanıtlanmıştır.
Microsoft, yayıncılarının haksız kaldırılması ve yasaklanması için özür diledi ve “başka bir olayın olasılığını azaltmak için tarayıcılar ve soruşturma süreçlerini” güncelleyeceklerini söyledi.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.