- Campanha de malware GlassWorm expandida do VS Code Marketplace para Open VSX
- Quatro extensões comprometidas entregaram o infostealer do macOS, roubando dados do navegador, carteiras e informações de chaves
- Extensões baixadas 22 mil vezes; os invasores excluíram os sistemas russos, sugerindo origem russa
Glass Worm, o malware campanha direcionada aos desenvolvedores do VS Code em MicrosoftO mercado oficial do Visual Studio Code da Microsoft agora se expandiu para alternativas de código aberto, afirmam os especialistas.
Recentemente, os pesquisadores de segurança Socket disseram que descobriram quatro extensões no Open VSX, um mercado aberto e independente de fornecedor para extensões de editor (usado principalmente por desenvolvedores que trabalham com editores compatíveis com VS Code).
Essas extensões começaram como benignas, mas foram comprometidas em um ponto e usadas para fornecer um infostealer para usuários do MacOS em um estilo típico de ataque à cadeia de suprimentos. Aqui está a lista das extensões comprometidas:
oorzc.ssh-tools v0.5.1
oorzc.i18n-tools-plus v1.6.8
oorzc.mapa mental v1.0.61
oorzc.scss-to-css-compile v1.3.4
Limpeza após o ataque
Eles foram atualizados para incluir malware em 30 de janeiro, depois de permanecerem legítimos por cerca de dois anos.
O malware carrega um infostealer do macOS que coleta dados confidenciais de navegadores (Firefox e Chromium), extensões e aplicativos de carteira de criptomoeda, dados de chaves do macOS, Maçã Bancos de dados de notas, Safári cookies, segredos do desenvolvedor e documentos do sistema de arquivos local.
Tudo é então exfiltrado para um servidor de propriedade do invasor.
No total, as extensões foram baixadas 22 mil vezes, disseram os pesquisadores, sugerindo uma campanha relativamente bem-sucedida. Além do mais, a campanha tem como alvo exclusivamente dispositivos macOS, excluindo sistemas de localização russa, o que pode significar que os invasores são de origem russa.
Socket notificou os operadores do Open VSX Eclipse Foundation sobre suas descobertas, e a plataforma revogou tokens e removeu as versões maliciosas. Isso não significa que todos estejam seguros. Os usuários que baixaram as extensões ainda devem removê-las, verificar se há vestígios de malware em seus sistemas e alternar suas credenciais para mitigar totalmente os riscos.
Uma das extensões – oorzc.ssh-tools – foi completamente removida do Open VSX porque continha várias versões maliciosas, foi dito. Outras extensões foram simplesmente limpas e devolvidas à plataforma.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.