caution malware alert

AVERTISSEMENT aux développeurs: Restez à l’écart de ces 10 extensions VSCODE

Lucas Morel

Des extensions malveillantes qui installent un cryptominer ont été libérées au début du week-end.

Les développeurs utilisant l’éditeur Visual Studio Code (VSCOD) de Microsoft sont avertis de supprimer, ou du moins de rester à l’écart de 10 extensions nouvellement publiées qui déclencheront l’installation d’un cryptominer.

L’avertissement provient de chercheurs de Extension Total, qui a déclaré peut-être que 1 million de ces extensions malveillantes, qui prétendent être des outils de développement populaires, pourraient avoir été installées depuis le 4 avril, date à laquelle ils ont été publiés sur le marché du code Visual Studio de Microsoft. Cependant, les chercheurs soupçonnent également que les acteurs de la menace peuvent avoir gonflé les numéros de téléchargement.

Quoi qu’il en soit, une fois installé, les extensions téléchargent et exécutent un chargeur PowerShell qui établit la persistance, désactive les services de sécurité et déploie le cryptominer XMRIG à partir d’un serveur de commande et de contrôle distant (C2).

C’est le dernier d’une longue gamme de tentatives pour tromper les développeurs d’applications et de Web dans le téléchargement de logiciels malveillants en plantant des outils bidon sur des sites comme Github, NPM et autres.

Le chef d’une société de réponse aux incidents canadiens a déclaré que le rapport Total Extension décrit une attaque de chaîne d’approvisionnement en tiers «classique» qui met une porte dérobée dans une application.

« Ce n’est pas une attaque sophistiquée », a déclaré Robert Beggs, PDG de DigitalDedence, dans une interview.

Mais, a-t-il ajouté, il devrait y avoir plusieurs couches de défense sur l’ordinateur d’un développeur qui devrait empêcher le compromis: Microsoft Defender, par exemple, devrait émettre un avertissement contextuel que le registre Windows est sur le point d’être modifié ou que les défenses de sécurité sont désactivées.

Le problème, a-t-il dit, est que «les développeurs sont célèbres pour avoir désactivé les contrôles de sécurité» et ignorer ces avertissements. En effet, leur objectif est de s’assurer que l’application ils travaillent sur les fonctions comme prévu.

C’est pourquoi les CISO et les DSI devraient s’assurer que les développeurs d’applications travaillent sur un réseau séparé du réseau de production, a-t-il déclaré.

Dans une analyse de chaque outil malveillant, Extension Total a noté qu’un avertissement devrait être que l’éditeur n’a pas vérifié sa propriété de domaine répertoriée. « La vérification de l’éditeur est une bonne pratique pour s’assurer que l’éditeur est ce qu’ils disent être », ont déclaré les chercheurs. « Pourtant, le processus de vérification de l’éditeur VSCODE n’est pas assez rigoureux. »

Les 10 extensions malveillantes et leurs éditeurs sont:

  • Plus joli – code pour vscode (par jolie);
  • Présence riche en discorde pour le code vs (par Mark H);
  • Rojo – Roblox Studio Sync (par Evaera);
  • Compilateur de solidité (par développeur VScode);
  • Claude ai (par Mark H)
  • Compilateur de Golong (par Mark H);
  • Agent ChatGPT pour VSCODE (par Mark H);
  • HTML Obfuscator (par Mark H);
  • Python Obfuscator pour VScode (par Mark H);
  • Compilateur de rouille pour VSCODE (par Mark H).

Bien que les extensions soient publiées sous différents noms d’auteurs, ils partagent un code identique et communiquent avec le même serveur C2 pour télécharger et exécuter la même charge utile, indique le rapport.

Ce qui rend difficile la détection initiale de ces extensions malveillantes pour l’utilisateur, c’est qu’après le téléchargement de l’utilité dite, il tente d’installer l’extension légitime. De cette façon, l’utilisateur obtient toujours l’outil à laquelle ils s’attendaient.

Le script PowerShell essaie d’exécuter la charge utile malveillante avec les autorisations administratrices, indique le rapport. S’il n’a pas les autorisations appropriées, le script essaie de créer un autre répertoire System32 et de copier le fichier ComputerDefaults.exe. Ensuite, le script crée sa propre DLL malveillante nommée mlang.dll et essaie de l’exécuter à l’aide de l’exécutable ComputerDefaults.

Le script PowerShell contient les DLL et l’exécutable Trojan en tant que chaînes codées de base Base64, indique le rapport. Il décode le Troie et l’écrit, comme Launcher.exe, au répertoire qu’il a créé et exclu de la surveillance par Windows Defender.

Le lancener.exe communique avec un autre serveur C2, Myaunet (.) SU, Téléchargement et exécution de l’outil XMRIG, utilisé pour l’exploitation de Monero.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?