🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram mais uma evolução da campanha GlassWorm em andamento, que emprega um novo conta-gotas Zig projetado para infectar furtivamente todos os ambientes de desenvolvimento integrados (IDEs) na máquina de um desenvolvedor.
A técnica foi descoberta em uma extensão Open VSX chamada "specstudio.code-wakatime-activity-tracker", que se disfarça como WakaTime, uma ferramenta popular que mede o tempo que os programadores passam dentro de seu IDE. A extensão não está mais disponível para download.
"A extensão [...] fornece um binário nativo compilado em Zig junto com seu código JavaScript", disse o pesquisador da Aikido Security, Ilyas Makari, em uma análise publicada esta semana.
"Esta não é a primeira vez que o GlassWorm recorre ao uso de código compilado nativo em extensões. No entanto, em vez de usar o binário diretamente como carga útil, ele é usado como uma indireta furtiva para o conhecido conta-gotas GlassWorm, que agora infecta secretamente todos os outros IDEs que pode encontrar no seu sistema."
A recém-identificada extensão Microsoft Visual Studio Code (VS Code) é quase uma réplica do WakaTime, exceto por uma alteração introduzida em uma função chamada "activate ()". A extensão instala um binário chamado "win.node" em sistemas Windows e "mac.node", um binário Mach-O universal se o sistema estiver executando o Apple macOS.
Esses complementos nativos do Node.js são bibliotecas compartilhadas compiladas escritas em Zig e carregadas diretamente no ambiente de execução do Node e executadas fora da sandbox JavaScript com acesso total no nível do sistema operacional.
Depois de carregado, o objetivo principal do binário é encontrar todos os IDE no sistema que suportem extensões do VS Code. Isso inclui Microsoft VS Code e VS Code Insiders, bem como forks como VSCodium, Positron e diversas ferramentas de codificação baseadas em inteligência artificial (IA), como Cursor e Windsurf.
O binário então baixa uma extensão maliciosa do VS Code (.VSIX) de uma conta do GitHub controlada pelo invasor. A extensão, chamada "floktokbok.autoimport", representa "steoates.autoimport", uma extensão legítima com mais de 5 milhões de instalações no Visual Studio Marketplace oficial.
Na etapa final, o arquivo .VSIX baixado é gravado em um caminho temporário e instalado silenciosamente em cada IDE usando o instalador CLI de cada editor. A extensão do segundo estágio do VS Code atua como um conta-gotas que evita a execução em sistemas russos, se comunica com o blockchain Solana para buscar o servidor de comando e controle (C2), exfiltra dados confidenciais e instala um trojan de acesso remoto (RAT), que, em última análise, implanta uma extensão do Google Chrome para roubo de informações.
Os usuários que instalaram "specstudio.code-wakatime-activity-tracker" ou "floktokbok.autoimport" são aconselhados a assumir o compromisso e alternar todos os segredos.
A técnica foi descoberta em uma extensão Open VSX chamada "specstudio.code-wakatime-activity-tracker", que se disfarça como WakaTime, uma ferramenta popular que mede o tempo que os programadores passam dentro de seu IDE. A extensão não está mais disponível para download.
"A extensão [...] fornece um binário nativo compilado em Zig junto com seu código JavaScript", disse o pesquisador da Aikido Security, Ilyas Makari, em uma análise publicada esta semana.
"Esta não é a primeira vez que o GlassWorm recorre ao uso de código compilado nativo em extensões. No entanto, em vez de usar o binário diretamente como carga útil, ele é usado como uma indireta furtiva para o conhecido conta-gotas GlassWorm, que agora infecta secretamente todos os outros IDEs que pode encontrar no seu sistema."
A recém-identificada extensão Microsoft Visual Studio Code (VS Code) é quase uma réplica do WakaTime, exceto por uma alteração introduzida em uma função chamada "activate ()". A extensão instala um binário chamado "win.node" em sistemas Windows e "mac.node", um binário Mach-O universal se o sistema estiver executando o Apple macOS.
Esses complementos nativos do Node.js são bibliotecas compartilhadas compiladas escritas em Zig e carregadas diretamente no ambiente de execução do Node e executadas fora da sandbox JavaScript com acesso total no nível do sistema operacional.
Depois de carregado, o objetivo principal do binário é encontrar todos os IDE no sistema que suportem extensões do VS Code. Isso inclui Microsoft VS Code e VS Code Insiders, bem como forks como VSCodium, Positron e diversas ferramentas de codificação baseadas em inteligência artificial (IA), como Cursor e Windsurf.
O binário então baixa uma extensão maliciosa do VS Code (.VSIX) de uma conta do GitHub controlada pelo invasor. A extensão, chamada "floktokbok.autoimport", representa "steoates.autoimport", uma extensão legítima com mais de 5 milhões de instalações no Visual Studio Marketplace oficial.
Na etapa final, o arquivo .VSIX baixado é gravado em um caminho temporário e instalado silenciosamente em cada IDE usando o instalador CLI de cada editor. A extensão do segundo estágio do VS Code atua como um conta-gotas que evita a execução em sistemas russos, se comunica com o blockchain Solana para buscar o servidor de comando e controle (C2), exfiltra dados confidenciais e instala um trojan de acesso remoto (RAT), que, em última análise, implanta uma extensão do Google Chrome para roubo de informações.
Os usuários que instalaram "specstudio.code-wakatime-activity-tracker" ou "floktokbok.autoimport" são aconselhados a assumir o compromisso e alternar todos os segredos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #glassworm #usa #zig #dropper #para #infectar #vários #ides #de #desenvolvedores
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário