Los investigadores de ciberseguridad de Check Point han descubierto múltiples extensiones maliciosas de Visual Studio en el VSCode Marketplace de Microsoft.
Estas extensiones, llamadas «Theme Darcula dark», python-vscode» y «prettiest java» pretendían ser útiles para los desarrolladores de Visual Studio Code, pero, de hecho, estaban haciendo todo tipo de cosas desagradables. El tema Darcula dark estaba robando información básica del sistema, python-vscode permitía la ejecución remota de código en el punto final infectado, mientras que el java más bonito robaba (haciéndose pasar por (se abre en una pestaña nueva) el complemento «pretty java») guardó credenciales o tokens de autenticación de Discord y Discord Canary, Google Chrome, Opera, Brave Browser y Yandex Browser. El malware luego lo filtraría usando un webhook de Discord.
Combinados, los tres programas maliciosos se descargaron 46 600 veces, aunque, entre los tres, Theme Darcula dark dominó absolutamente con más de 45 000 descargas.
Ataques a la cadena de suministro
Los investigadores avisaron a Microsoft el 4 de mayo de este año y la empresa los eliminó diez días después, el 14 de mayo. Es importante mencionar que, si bien la eliminación del malware del repositorio protege a los desarrolladores de futuras descargas, aquellos que descargaron el malware en el pasado seguirá siendo vulnerable hasta que eliminen las herramientas de sus sistemas y ejecuten un análisis antivirus para eliminar cualquier remanente.
Visual Studio Code (VSC) es el editor de código fuente de Microsoft, utilizado por un «porcentaje significativo» de desarrolladores de software profesionales en todo el mundo. VSCode Marketplace es un mercado de extensiones administrado por el gigante del software de Redmond, que supuestamente alberga más de 50 000 complementos que mejoran la funcionalidad de VSC de varias maneras.
Si bien estos tres fueron concluyentemente maliciosos, los investigadores de Check Point encontraron complementos más dudosos que demostraron un comportamiento inseguro, pero que no podían clasificarse como maliciosos. Parte de ese comportamiento incluía tomar código de repositorios privados o descargar archivos.
Los ataques a la cadena de suministro son muy populares entre los actores de amenazas en estos días, y los repositorios de código abierto son un objetivo atractivo. Otros repositorios, como PyPI, por ejemplo, son bombardeados con paquetes maliciosos a diario.
Vía: BleepingComputer (se abre en una pestaña nueva)