Hamis bővítmények terjedése
A hamis bővítmény eredetileg szintaxiskiemelő eszközként jelent meg az Ethereum okosszerződésekhez, de valójában egy PowerShell-parancsot hajtott végre egy távoli szerverről, amely további kártevőket töltött le. Első lépésként ellenőrizte, hogy telepítve van-e a ScreenConnect nevű távoli asztal menedzsment eszköz, és ha nem volt, automatikusan telepítette. A támadók így teljes hozzáférést szereztek a fejlesztő számítógépéhez.
Komplex támadási lánc
Miután a támadók bejutottak, VBScript segítségével újabb káros programokat telepítettek, köztük egy VMDetector nevű betöltőt. Ez további két komoly fenyegetést hozott: a Quasar RAT nevű távoli hozzáférésű trójait, amely parancsokat hajt végre a gépen, valamint a PureLogs stealert, amely a böngészőből mentett jelszavakat és kriptotárcákat lop el.
A letöltésszámok manipulációja
Az Open VSX-ben a kiegészítő 54 ezerszer lett letöltve, ám valószínűleg manipulálták ezeket a számokat, hogy hitelesebbnek tűnjön. Egy nap múlva már egy szinte azonos, solidity néven feltöltött változattal közel kétmillió letöltést is elértek, így feljebb rangsorolták a hamis verziót a keresésekben, és könnyen megtévesztették a fejlesztőket.
Sok fejlesztő van veszélyben
További hasonló bővítmények is felkerültek a hivatalos Visual Studio Code piactérre, például solaibot, among-eth és blankebesxstnion néven, amelyek ugyanezzel a módszerrel dolgoztak. A nyílt forráskódú tárolókból letölthető bővítmények között gyakori a kártevő, különösen a kriptofejlesztők körében, ezért mindig ellenőrizni kell, hogy valódi-e a letölteni kívánt bővítmény. Gyanús működés esetén érdemes a forráskódba is betekinteni.
