Popüler “Materyal Simge Teması” gibi görünen kötü amaçlı bir Visual Studio Code uzantısı, Windows ve macOS kullanıcılarına saldırmak için kullanıldı ve eklentiyi gizli bir arka kapıya dönüştürdü.
Sahte uzantı, arka kapılı dosyalarla birlikte pazara gönderildi ve saldırganlara, yüklendikten sonra geliştirici iş istasyonlarına doğrudan bir yol sağladı.
Kurulumdan sonra uzantı normal bir simge teması gibi davrandı, bu nedenle çoğu kullanıcının herhangi bir şeyin yanlış olduğundan şüphelenmesi için hiçbir neden yoktu.
Perde arkasında paket, her iki işletim sisteminde de yerel kod çalıştırmaya ve uzaktan komut sunucusuna ulaşmaya hazır iki Rust tabanlı implant içeriyordu.
Nextron Systems güvenlik araştırmacıları, 5.29.1 sürümündeki implantları belirlediler ve bunların yürütülmesinin izini, Windows’ta os.node ve macOS’ta darwin.node yerel yüklerinin yanına dist/extension/desktop dizinine yerleştirilen extension.js adlı bir yükleyici komut dosyasına kadar takip ettiler.
Bu, kötü amaçlı dosyaların harmanlanacak gerçek uzantının klasör ağacını nasıl yansıttığını gösterir.
.webp)
Uzantı VS Code’da etkinleştirildikten sonra extension.js, mevcut platform için doğru Rust implantını yükler ve kontrolü saldırgan koduna devreder.
Bu andan itibaren uzantı zararsız bir eklenti olmaktan çıkar ve kurban makinenin dışından tamamen kontrol edilen ileri aşamalar için bir yükleyici haline gelir.
Enfeksiyon mekanizması ve komuta zinciri
Bu bölüm, implantların komut sunucusuyla nasıl konuştuğuna ve takip yüklerini nasıl getirdiğine ilişkin eksiksiz bir teknik döküm sağlar.
Rust ikili dosyaları sabit bir URL kullanmaz. Bunun yerine talimatlarını, engellenmesi zor bir kontrol kanalı görevi gören Solana blockchain cüzdan adresinde depolanan verilerden alıyorlar.
Extension.js’deki yükleyici mantığının basitleştirilmiş bir görünümü aşağıda gösterilmiştir: –
function activate() {
const bin = process.platform === "win32" ? "os.node" : "darwin.node";
const native = require(__dirname + "/desktop/" + bin);
native.run();
}Yerel kod, cüzdan verilerini okur, base64 kodunu çözer ve ardından AES-256-CBC şifreli bir JavaScript dosyası olan büyük bir base64 blobu indirmek için bir komut sunucusuyla bağlantı kurar.
.webp)
Yedek olarak aynı sonraki aşama, yük URL’sini görünmez Unicode hileleriyle saklayan gizli bir Google Takvim etkinliğinden de getirilebilir. Bu, blockchain cüzdanından şifresi çözülmüş komut dosyasına kadar C2 zincirini göstermektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
