A rosszindulatú bővítmények
A VS Code bővítmények prémium sötét témának és mesterséges intelligencia (AI) alapú kódolási asszisztensnek álcázzák magukat, valójában azonban rejtett funkciókat tartalmaznak további kártevők letöltésére, képernyőképek készítésére és adatok ellopására. Az ellopott adatokat a támadók szerverére küldik."A kódod, az emailjeid, a Slack üzeneteid - bármi, ami a képernyődön van, azt ők is látják. És ez még csak a kezdet. WiFi jelszavakat is lop, kiolvas a vágólapról, és eltéríti a böngésző munkameneteket" - mondta Idan Dardikman, a Koi Security munkatársa.
Az érintett bővítmények:
BigBlack.bitcoin-black (16 telepítés) - A Microsoft 2025. december 5-én távolította elBigBlack.codo-ai (25 telepítés) - A Microsoft 2025. december 8-án távolította el
BigBlack.mrbigblacktheme - Szintén eltávolította a Microsoft kártevő tartalma miatt
Hogyan működik a támadás
A "BigBlack.bitcoin-black" minden VS Code műveletnél aktiválódik, míg a Codo AI egy valóban működő eszközbe rejtette a rosszindulatú funkciókat, így nehezebben észlelhető.A bővítmények korábbi verziói PowerShell szkriptet futtattak, amely jelszóval védett ZIP fájlt töltött le egy külső szerverről. A támadó először véletlenül olyan verziót tett közzé, amely látható PowerShell ablakot nyitott - ez figyelmeztethette volna a felhasználókat. A későbbi változatok már elrejtik az ablakot, és batch szkriptre váltottak, amely curl paranccsal tölti le a kártevőt.
A letöltött fájl egy eredeti Lightshot program, amelyet egy rosszindulatú DLL ("Lightshot.dll") betöltésére használnak DLL-eltérítéses technikával. Ez a DLL gyűjti össze a vágólap tartalmát, a telepített programok listáját, a futó folyamatokat, képernyőképeket, mentett WiFi jelszavakat és rendszerinformációkat. Emellett elindítja a Google Chrome-ot és a Microsoft Edge-et láthatatlan módban, hogy ellopja a mentett sütiket és átvegye a böngésző munkameneteket.
További veszélyes csomagok más platformokon
A Socket biztonsági cég rosszindulatú csomagokat talált a Go, npm és Rust ökoszisztémákban is:Go csomagok: A "github.com/bpoorman/uuid" és "github.com/bpoorman/uid" néven 2021 óta elérhető csomagok, amelyek megbízható UUID könyvtárakat utánoznak, és adatokat küldenek egy dpaste nevű weboldalra
npm csomagok: 420 egyedi npm csomag "elf-stats-*" elnevezéssel, amelyek reverse shell-t futtatnak és fájlokat küldenek egy Pipedream végpontra
Rust csomag: A finch-rust nevű csomag, amely egy valódi bioinformatikai eszközt utánoz, és kártevő-betöltőként működik a "sha-rust" nevű adatlopó csomaggal együtt
"A finch-rust kártevő-betöltőként működik - főként eredeti kódot tartalmaz a valódi finch csomagból, de egyetlen rosszindulatú sort is, amely betölti és futtatja a sha-rust kártevőt. Ez az elkülönítés megnehezíti az észlelést: a finch-rust önmagában ártalmatlannak tűnik, míg a sha-rust tartalmazza a tényleges kártevőt" - magyarázta Kush Pandya, a Socket kutatója.