Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/malicious-microsoft-vscode-extensions-steal-passwords-open-remote-shells/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #extensões #maliciosas #do #microsoft #vscode #roubam #senhas, #abrem #shells #remotos
Os cibercriminosos estão começando a atacar o VSCode Marketplace da Microsoft, carregando três extensões maliciosas do Visual Studio que os desenvolvedores do Windows baixaram 46.600 vezes.
De acordo com a Check Point, cujos analistas descobriram as extensões maliciosas e as reportaram à Microsoft, o malware permitiu que os invasores roubassem credenciais, informações do sistema e estabelecessem um shell remoto na máquina da vítima.
As extensões foram descobertas e relatadas em 4 de maio de 2023 e posteriormente removidas do mercado VSCode em 14 de maio de 2023.
No entanto, qualquer desenvolvedor de software que ainda estiver usando as extensões maliciosas deve removê-las manualmente de seus sistemas e executar uma verificação completa para detectar quaisquer resquícios da infecção.
Casos maliciosos no VSCode Marketplace
O Visual Studio Code (VSC) é um editor de código-fonte publicado pela Microsoft e usado por uma porcentagem significativa de desenvolvedores profissionais de software em todo o mundo.
A Microsoft também opera um mercado de extensões para o IDE chamado VSCode Marketplace, que oferece mais de 50.000 complementos que estendem a funcionalidade do aplicativo e fornecem mais opções de personalização.
As extensões maliciosas descobertas pelos pesquisadores da Check Point são as seguintes:
'Theme Darcula dark' - Descrito como "uma tentativa de melhorar a consistência das cores do Drácula no VS Code", essa extensão foi usada para roubar informações básicas sobre o sistema do desenvolvedor, incluindo nome do host, sistema operacional, plataforma da CPU, memória total e informações sobre o CPU.
Embora a extensão não contenha outras atividades maliciosas, não é um comportamento típico associado a um pacote de temas.
Esta extensão teve a maior circulação de longe, baixada mais de 45.000 vezes.
Extensão Darcula no VSCode Marketplace (Check Point)
'python-vscode' – Esta extensão foi baixada 1.384 vezes, apesar de sua descrição vazia e nome de uploader 'testUseracc1111', mostrando que ter um bom nome é suficiente para atrair algum interesse.
A análise de seu código mostrou que é um injetor de shell C# que pode executar código ou comandos na máquina da vítima.
Injetor de código C# ofuscado (ponto de verificação)
'java mais bonito' – Com base no nome e na descrição da extensão, provavelmente foi criado para imitar a popular ferramenta de formatação de código 'java mais bonito'.
Na realidade, ele roubou credenciais salvas ou tokens de autenticação do Discord e Discord Canary, Google Chrome, Opera, Brave Browser e Yandex Browser, que foram enviados aos invasores por meio de um webhook do Discord.
A extensão teve 278 instalações.
Procurando por segredos locais (Check Point)
A Check Point também encontrou várias extensões suspeitas, que não podiam ser caracterizadas como maliciosas com certeza, mas demonstraram comportamento inseguro, como buscar código de repositórios privados ou baixar arquivos.
Os repositórios de software apresentam riscos
Repositórios de software que permitem contribuições do usuário, como NPM e PyPi, provaram ser arriscados de usar, pois se tornaram um alvo popular para agentes de ameaças.
Enquanto o VSCode Marketplace está apenas começando a ser visado, AquaSec demonstrou em janeiro que era bastante fácil fazer upload de extensões maliciosas para o VSCode Marketplace e apresentou alguns casos altamente suspeitos. No entanto, eles não conseguiram encontrar nenhum malware.
Os casos descobertos pela Check Point demonstram que os agentes de ameaças agora estão tentando ativamente infectar os desenvolvedores do Windows com envios maliciosos, exatamente como fazem em outros repositórios de software, como o NPM e o PyPI.
Os usuários do VSCode Marketplace e todos os repositórios suportados pelo usuário são aconselhados a instalar apenas extensões de editores confiáveis com muitos downloads e classificações da comunidade, ler as análises dos usuários e sempre inspecionar o código-fonte da extensão antes de instalá-lo.
Postar um comentário