Pesquisadores de cibersegurança descobriram duas extensões maliciosas no Visual Studio Code Marketplace, criadas para implantar um ransomware ainda em fase de desenvolvimento nos dispositivos dos usuários.
As extensões, chamadas “ahban.shiba” e “ahban.cychelloworld”, já foram removidas pelos responsáveis pelo marketplace. De acordo com a ReversingLabs, ambas continham código capaz de acionar um comando PowerShell, que por sua vez buscava um payload de script PowerShell hospedado em um servidor de comando e controle (C2) para executá-lo.
Esse payload é suspeito de ser um ransomware ainda em desenvolvimento, pois atualmente apenas criptografa arquivos localizados em uma pasta chamada “testShiba” na área de trabalho do Windows da vítima. Após a criptografia, o PowerShell exibe a mensagem:“Seus arquivos foram criptografados. Pague 1 ShibaCoin para ShibaWallet para recuperá-los.”Entretanto, nenhuma outra instrução ou endereço de carteira de criptomoeda é fornecido, o que reforça a hipótese de que o malware ainda está em fase de testes por parte dos hackers.
Esse incidente ocorre poucos meses após a ReversingLabs ter sinalizado outras extensões maliciosas no ecossistema do VSCode, incluindo algumas que se disfarçavam como Zoom, mas continham funcionalidades para baixar cargas maliciosas adicionais de servidores remotos.
Além disso, na semana passada, a Socket expôs um pacote Maven malicioso que se passava pela biblioteca scribejava-core (OAuth) e tinha a capacidade de coletar e exfiltrar credenciais OAuth no décimo quinto dia de cada mês — uma tática de ativação baseada em tempo projetada para evitar detecção. O pacote foi publicado no Maven Central em 25 de janeiro de 2024 e ainda está disponível para download.
Segundo o pesquisador de segurança Kush Pandya, os hackers utilizaram a técnica de typosquatting, criando nomes quase idênticos aos pacotes legítimos para enganar desenvolvedores. Curiosamente, esse pacote malicioso tem seis pacotes dependentes, todos utilizando o grupo io.github.leetcrunch em vez do namespace legítimo com.github.scribejava, como forma de aparentar legitimidade e aumentar as chances de uso em projetos reais.
Via - THN
Comments