Whitecobra adlı bir tehdit oyuncusu, Visual Studio Marketplace ve Open VSX kayıt defterine 24 kötü niyetli uzantılar ekleyerek VSCOD, imleç ve Windsurf kullanıcılarını hedeflemeye sahiptir.
Tehdit oyuncusu, kaldırılan uzantıları değiştirmek için sürekli olarak yeni kötü amaçlı kod yüklediğinden kampanya devam ediyor.
Toplu bir yazıda, çekirdek Ethereum geliştiricisi Zak Cole, görünüşte meşru bir uzatma kullandıktan sonra cüzdanının nasıl boşaldığını anlattı (Contractshark.Solididy-Lang) İmleç kodu düzenleyicisi için.
.png)
Cole, uzantının profesyonel olarak tasarlanmış simge, ayrıntılı bir açıklama ve imleçin resmi kayıt defteri OpenVSX’te 54.000 indirme ile iyi huylu bir ürün belirtilerini içerdiğini açıkladı.
Endpoint güvenlik sağlayıcısı Koi’deki araştırmacılara göre, Whitecobra Temmuz ayında 500.000 dolarlık kripto hırsızlığından sorumlu bir gruptır.
Whitecobra saldırıları
VS (Visual Studio) Kod, İmleç ve Windsurf, VSIX Extension’ı destekleyen kod editörleridir – VS Code Marketplace ve OpenVSX platformunda yayınlanan uzantılar için varsayılan paket biçimi.
Bu çapraz uyumluluk ve bu platformlardaki uygun gönderim incelemesinin olmaması, onları geniş bir erişimle kampanyalar yürütmek isteyen saldırganlar için ideal hale getirir.
KOI Security’ye göre, Whitecobra, özenle oluşturulan genel bir açıklama ve şişirilmiş indirme sayısı nedeniyle meşru görünen kötü niyetli VSIX uzantıları oluşturur.
KOI Security, aşağıdaki uzantıların en son Whitecobra kampanyasının bir parçası olduğunu keşfetti:
Openvsx (İmleç/Windsurf)
- ChainDevtools.solidid-Pro
- Kilocode-ai.Kilo-Code
- nomic-fdn.hardhat-solukluk
- oxc-vscode.oxc
- Juan-Blanco.
- kineticsquid.solidid-etereum-vsc
- Ethfoundry.solidityThereum
- Juanfblanco.
- Ethereum.solidid-Ethereum
- Juan-Blanco.
- Nomicfdn.hardhat-
- juan-blanco.vscode-solukluk
- Nomic-Foundation.Hardhat-Solidite
- nomic-fdn.solididd-hardhat
- Kripto-uzatma.
- Crypto-Extensions.snowshsono
VS Kodu Marketplace
- Yuanfblanco.awhh
- Ethfoundry.Therfoundrys
- Ellisonbrett.GivingBlankies
- Marcuslockwood.wgbk
- Vitalikbuterin-Ethfoundation.blan-Co
- Showsnowcrypto.snowshono
- Crypto-Extensions.snowshsono
- Red.rojo -rox -vscode
Kaynak: KOI Güvenliği
Araştırmacılar, cüzdan drenajı, “her VSCode uzantısı şablonuyla birlikte gelen varsayılan” merhaba dünya “kazan plakası ile neredeyse aynı olan ana dosyayı (extension.js) yürütme ile başlar.
Ancak, ikincil bir komut dosyasına (adv.js) yürütmeyi tanımlayan basit bir çağrı vardır. Claudflare sayfalarından bir sonraki aşamalı yük indirilir. Yükü platforma özgüdür, Windows için kullanılabilir sürümler, koldaki macOS ve Intel’de macOS.
Windows’ta bir PowerShell betiği, Lummastealer kötü amaçlı yazılımını çalıştırmak için Shellcode’u yürüten bir Python komut dosyası yürütür.
Lummastealer, kripto para birimi cüzdan uygulamalarını, web uzantılarını, web tarayıcılarında depolanan kimlik bilgilerini ve mesajlaşma uygulama verilerini hedefleyen bir bilgi yönlendiren kötü amaçlı yazılımdır.
MacOS’ta yük, bilinmeyen bir kötü amaçlı yazılım ailesini yüklemek için yerel olarak yürütülen kötü amaçlı bir Mach-O ikilidir.
Whitecobra’nın dahili oyun kitabına göre, siber suçlular gelir hedeflerini 10.000 ila 500.000 dolar arasında tanımlar, bir komuta ve kontrol (C2) altyapı kurulumu kılavuzları sağlar ve sosyal mühendislik ve pazarlama tanıtım stratejilerini tanımlar.
Kaynak: KOI Güvenliği
Bu, tehdit grubunun organize bir şekilde çalıştığını ve maruz kalma veya yayından kaldırma ile caydırılmadığını doğrular. KOI Security, Whitecobra’nın üç saatten daha kısa bir sürede yeni bir kampanya kurabildiğini söylüyor.
Araştırmacılar, derecelendirmeler, indirme sayıları ve incelemeler güven aşılamak için manipüle edilebileceğinden, kötü niyetli uzantıları ve depolarda bulunan meşru uzantıları ayırt etmek için daha iyi doğrulama mekanizmalarının gerekli olduğu konusunda uyarıyorlar.
Kodlama uzantılarını indirirken genel öneriler, kimliğe bürünme ve yazım hatası denemelerini kontrol etmektir, yalnızca iyi bir güven kaydıyla bilinen projeleri kullanmaya çalışmaktır. Tipik olarak, kısa sürede çok sayıda indirme ve olumlu inceleme toplayan yeni projelerden şüphelenmek daha iyidir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.