A veszély valós: kártékony VS Code-bővítmények lopják az adataidat

Átverős bővítmények, csaló fejlesztő

A Bitcoin Black és a Codo AI néven futó bővítményeket színtémaként, illetve MI‑asszisztensként töltötte fel a piactérre a „BigBlack” nevű fejlesztő. A Codo AI a felfedezés idején is elérhető volt kevesebb mint 30 letöltéssel, míg a Bitcoin Black mindössze egy telepítéssel.

Kifinomult támadási módszerek

A Bitcoin Black minden VSCode-műveletre aktiválódik, és jogosulatlanul képes PowerShell-parancsokat futtatni. Régebbi verziókban jelszóval védett csomagokat töltött le, amelyeket PowerShell‑ablakban futtatott — ez némi gyanút ébreszthetett a felhasználóban. Az újabb kiadások már rejtett ablakban, batch‑szkripttel töltik le a fertőző DLL‑t és a futtatható állományt.

Adatlopás minden fronton

Mindkét bővítmény egy valódi Lightshot képernyőmentő eszköz mellé telepíti a káros DLL‑t, amelyet DLL‑eltérítéssel indítanak runtime.exe néven. Ez az állomány 72 antivírus közül 29‑nél fennakad a szűrőn. A kártevő a %APPDATA%LocalEvelyn könyvtárba menti az ellopott adatokat: a futó folyamatokat, a vágólapot, Wi‑Fi‑adatokat, rendszerinformációkat, képernyőmentéseket, valamint a telepített programok listáját. A kártevő headless módban indítja el a Chrome‑ot és az Edge‑et, hogy elcsenje a sütiket és hozzáférjen a munkamenetekhez. Emellett a Phaser, a MetaMask, az Exodus és más kriptotárcák adataira is vadászik.

Gyors válasz: bővítmények eltávolítva

A Microsoft rövid időn belül eltávolította mindkét, kártevőt tartalmazó bővítményt a piactérről. A fejlesztőknek csak megbízható kiadóktól érdemes bővítményeket telepíteniük, ha nem szeretnének adatot veszíteni, vagy azt, hogy kár érje a kriptotárcájukat.

2025, adrienne, www.bleepingcomputer.com alapján