A VS Code-ot rejtett trójaiakkal fertőző bővítmények terjednek

Egy ügyes kibertámadási kampány már február óta fertőzi a fejlesztőket, miután 19 rosszindulatú bővítmény jelent meg a VS Code Marketplace-en. Ezekbe a kiegészítőkbe a támadók olyan kártevőket rejtettek el, amelyek egy hamis PNG-ként álcázott fájlban és a függőségek közé csempészve bújtak meg.

Bundázott trükkök és rejtett kód

A Microsoft népszerű fejlesztői környezete, a VS Code könnyen bővíthető hivatalos piacterén keresztül, ezért rendkívül vonzó célpont a támadók számára. A fertőzött bővítmények mind tartalmaztak egy előre összecsomagolt “node_modules” mappát, így az IDE nem töltött le friss függőségeket az npm-ről telepítéskor. Ebben a csomagban a támadók egy módosított “path-is-absolute” vagy “@actions/io” függőséget is elrejtettek, amelynek kódja automatikusan lefutott a VS Code indításakor.

Álcázott támadók, új veszélyek

Az extra kódrészlet egy zavaros JavaScript dropperként bontott ki egy ‘lock’ nevű fájlból. Egy másik, “banner.png” elnevezésű archívumban további két káros program lapult: egy LoLBin-típusú, cmstp.exe nevű futtatható állomány, valamint egy Rust-alapú trójai. Az utóbbi pontos működését még vizsgálják.

Névlista és védekezési tanácsok

A megtévesztő bővítmények például Malkolm Theme, PandaExpress Theme, Prada 555 Theme és Priskinski Theme néven jelentek meg – mind 1.0.0 verzióval. A Microsoft már eltávolította őket, de akik telepítették, mindenképpen ellenőrizzék rendszerüket!

A támadások elkerülése érdekében érdemes alaposan átnézni a bővítményeket, és különösen azok csomagolt függőségeit. Gyanús vagy kevésbé ismert forrásból származó bővítmények telepítését pedig jobb inkább elkerülni.

2025, adrienne, www.bleepingcomputer.com alapján