Los investigadores de seguridad cibernética han descubierto dos extensiones maliciosas en el mercado de Visual Studio Code (VScode) que están diseñados para implementar ransomware que se está desarrollando a sus usuarios.
Las extensiones, llamada «Ahban.shiba» y «Ahban.Cychelloworld», han sido eliminados por los mantenedores del mercado.
Ambas extensiones, por Reversinglabsincorpore un código diseñado para invocar un comando PowerShell, que luego toma una carga útil de Script PowerShell desde un servidor de comando y control (C2) y la ejecuta.
Se sospecha que la carga útil es ransomware en el desarrollo de la etapa temprana, solo encriptando archivos en una carpeta llamada «TestShiba» en el escritorio de Windows de la víctima.
Una vez que los archivos están encriptados, la carga útil de PowerShell muestra un mensaje, indicando «sus archivos han sido encriptados. Pague 1 Shibacoin a Shibawallet para recuperarlos».
Sin embargo, no se proporcionan otras instrucciones o direcciones de billetera de criptomonedas a las víctimas, otra indicación de que el malware probablemente esté en desarrollo por los actores de amenazas.
El desarrollo se produce un par de meses después de la empresa de seguridad de la cadena de suministro de software. marcado varias extensiones maliciosasalgunos de los cuales se disfrazaron de Zoom, pero albergaban la funcionalidad para descargar una carga útil desconocida de la segunda etapa desde un servidor remoto.
La semana pasada, Socket detalló un paquete maven malicioso que se hace pasar por el biblioteca scibeJava-core oauth Eso cosecha y exfiltra en secreto las credenciales OAuth en el decimoquinto día de cada mes, destacando un mecanismo de activación basado en el tiempo diseñado para evadir la detección.
La biblioteca fue subida a Maven Central el 25 de enero de 2024. Sigue siendo Disponible para descargar del repositorio.
«Los atacantes utilizaron un tipo de escritura, creando un nombre casi idéntico para engañar a los desarrolladores para agregar el paquete malicioso», el investigador de seguridad Kush Pandya dicho. «Curiosamente, este paquete malicioso tiene seis paquetes dependientes».
«Todos ellos son paquetes legítimos para escribir tipográfico, pero comparten el mismo grupo (io.github.leetcrunch) en lugar del espacio de nombres real (com.github.scribeJava)».
Al adoptar este enfoque, la idea es aumentar la legitimidad percibida de la Biblioteca Maliciosa, aumentando así las posibilidades de que un desarrollador lo descargue y lo use en sus proyectos.
