A hamis bővítmény félmillió dolláros kriptolopáshoz vezetett

Hamis bővítmények terjedése

A hamis bővítmény eredetileg szintaxiskiemelő eszközként jelent meg az Ethereum okosszerződésekhez, de valójában egy PowerShell-parancsot hajtott végre egy távoli szerverről, amely további kártevőket töltött le. Első lépésként ellenőrizte, hogy telepítve van-e a ScreenConnect nevű távoli asztal menedzsment eszköz, és ha nem volt, automatikusan telepítette. A támadók így teljes hozzáférést szereztek a fejlesztő számítógépéhez.

Komplex támadási lánc

Miután a támadók bejutottak, VBScript segítségével újabb káros programokat telepítettek, köztük egy VMDetector nevű betöltőt. Ez további két komoly fenyegetést hozott: a Quasar RAT nevű távoli hozzáférésű trójait, amely parancsokat hajt végre a gépen, valamint a PureLogs stealert, amely a böngészőből mentett jelszavakat és kriptotárcákat lop el.

A letöltésszámok manipulációja

Az Open VSX-ben a kiegészítő 54 ezerszer lett letöltve, ám valószínűleg manipulálták ezeket a számokat, hogy hitelesebbnek tűnjön. Egy nap múlva már egy szinte azonos, solidity néven feltöltött változattal közel kétmillió letöltést is elértek, így feljebb rangsorolták a hamis verziót a keresésekben, és könnyen megtévesztették a fejlesztőket.

Sok fejlesztő van veszélyben

További hasonló bővítmények is felkerültek a hivatalos Visual Studio Code piactérre, például solaibot, among-eth és blankebesxstnion néven, amelyek ugyanezzel a módszerrel dolgoztak. A nyílt forráskódú tárolókból letölthető bővítmények között gyakori a kártevő, különösen a kriptofejlesztők körében, ezért mindig ellenőrizni kell, hogy valódi-e a letölteni kívánt bővítmény. Gyanús működés esetén érdemes a forráskódba is betekinteni.

2025, adrienne, www.bleepingcomputer.com alapján