Hackerlar, 5066 İndirmeye Ulaştıktan Sonra Gelişmiş Kötü Amaçlı Yazılımla VSX Uzantısını Silahlandırdı

Tehlikeli bir kötü amaçlı yazılım kampanyası, Open VSX uzantı pazarına sızarak sahte bir Açısal Dil Hizmeti uzantısı aracılığıyla 5.000 'den fazla geliştirici iş istasyonunu tehlikeye attı. Kötü amaçlı paket, geliştiriciler HTML veya TypeScript dosyalarını açtığında etkinleştirilen şifreli kötü amaçlı yazılım kodunun yanı sıra otantik Angular ve TypeScript bileşenlerini bir araya getirerek kendini meşru geliştirme aracı olarak gizledi. Uzantı, Open VSX pazarında iki hafta boyunca fark edilmeden çalıştı ve kendisini Açısal geliştiriciler için güvenilir bir üretkenlik aracı olarak sundu. Yüklendikten hemen sonra, AES -256 – CBC şifrelemesini kullanarak gizli yüklerin şifresini çözmeye başladı ve Solana blok zincirinde barındırılan komuta ve kontrol altyapısına bağlantılar kurdu. Bu yaklaşım, saldırganlara güvenlik ekipleri tarafından kolayca indirilemeyen kalıcı, sansüre dayanıklı iletişim kanalları sağlar. Ek analistler, Open VSX ekosistemindeki şüpheli uzantı davranışını analiz ettikten sonra kötü amaçlı yazılımı tanımladı. Tehdit özellikle npm ve GitHub için geliştirici kimlik bilgilerini, 60 farklı platformdaki kripto para cüzdanlarını ve tarayıcıda saklanan kimlik doğrulama tokenlerini hedefliyor. Coğrafi filtreleme mekanizmaları, kampanyanın Rusça konuşan ve yerel kovuşturmadan kaçınmaya çalışan tehdit gruplarından kaynaklandığını öne sürerek Rus sistemlerinde yürütülmesini engelliyor. Kötü amaçlı yazılımın yetenekleri basit veri hırsızlığının ötesine geçer. Veritabanı dosyalarının kilidini açmak için tarayıcı süreçlerini sonlandırır, VS Kodu yapılandırmalarından OAuth belirteçlerini çıkarır ve çalınan kimlik bilgilerini gerçek zamanlı olarak doğrular. Açısal Dil Hizmeti (Kaynak – Ek)

Dışa aktarılan veri paketleri sıkıştırılır ve komuta sunucularına iletilir; birincil kanallar kullanılamaz hale geldiğinde yedekleme altyapısı adresleri Google Takvim bağlantılarının gizliliği ihlal edilerek alınır.