Bundázott trükkök és rejtett kód
A Microsoft népszerű fejlesztői környezete, a VS Code könnyen bővíthető hivatalos piacterén keresztül, ezért rendkívül vonzó célpont a támadók számára. A fertőzött bővítmények mind tartalmaztak egy előre összecsomagolt “node_modules” mappát, így az IDE nem töltött le friss függőségeket az npm-ről telepítéskor. Ebben a csomagban a támadók egy módosított “path-is-absolute” vagy “@actions/io” függőséget is elrejtettek, amelynek kódja automatikusan lefutott a VS Code indításakor.
Álcázott támadók, új veszélyek
Az extra kódrészlet egy zavaros JavaScript dropperként bontott ki egy ‘lock’ nevű fájlból. Egy másik, “banner.png” elnevezésű archívumban további két káros program lapult: egy LoLBin-típusú, cmstp.exe nevű futtatható állomány, valamint egy Rust-alapú trójai. Az utóbbi pontos működését még vizsgálják.
Névlista és védekezési tanácsok
A megtévesztő bővítmények például Malkolm Theme, PandaExpress Theme, Prada 555 Theme és Priskinski Theme néven jelentek meg – mind 1.0.0 verzióval. A Microsoft már eltávolította őket, de akik telepítették, mindenképpen ellenőrizzék rendszerüket!
A támadások elkerülése érdekében érdemes alaposan átnézni a bővítményeket, és különösen azok csomagolt függőségeit. Gyanús vagy kevésbé ismert forrásból származó bővítmények telepítését pedig jobb inkább elkerülni.
