Χάκερ διεισδύουν στο VS Code Marketplace με 19 κακόβουλες επεκτάσεις που παρουσιάζονται ως αρχείο PNG

Οι ερευνητές ασφαλείας έχουν αποκαλύψει μια σημαντική απειλή που στοχεύει προγραμματιστές μέσω του VS Code Marketplace. Μια συντονισμένη εκστρατεία που περιλαμβάνει 19 κακόβουλες επεκτάσεις έχει διεισδύσει ενεργά στην πλατφόρμα, με την επίθεση να παραμένει απαρατήρητη από τον Φεβρουάριο του 2025.

Αυτές οι παραπλανητικές επεκτάσεις φέρουν κρυφό κακόβουλο λογισμικό στους φακέλους εξάρτησής τους, σχεδιασμένο να αποφεύγει τον εντοπισμό ασφαλείας και να υπονομεύει μηχανήματα προγραμματιστών.

Η καμπάνια δείχνει πώς οι εισβολείς έχουν αλλάξει την προσέγγισή τους για να στοχεύσουν την αλυσίδα εφοδιασμού λογισμικού. Αντί να αναπτύσσουν προφανείς απειλές, οι φορείς απειλών δημιούργησαν επεκτάσεις που είτε υποδύονται τα νόμιμα πακέτα είτε ισχυρίζονται ότι προσφέρουν γνήσια χαρακτηριστικά.

Μόλις εγκατασταθούν, αυτές οι επεκτάσεις ενεργοποιούν τον κακόβουλο κώδικα σιωπηλά στο παρασκήνιο. Αυτό που κάνει αυτήν την καμπάνια ιδιαίτερα περίπλοκη είναι η μέθοδος απόκρυψης—οι εισβολείς ενσωμάτωσαν εκτελέσιμα αρχεία σε αρχεία εικόνας που φαινόταν να είναι αβλαβή, ειδικά αρχεία PNG.

Αυτή η προσέγγιση δημιουργεί ένα πρόσθετο επίπεδο εξαπάτησης, καθώς οι προγραμματιστές δεν θα υποψιάζονταν ότι ένα αρχείο γραφικών περιέχει εκτελέσιμο κώδικα.

Η απειλή προκύπτει από μια ανησυχητική τάση. Μόνο τους πρώτους δέκα μήνες του 2025, οι ανιχνεύσεις κακόβουλου λογισμικού στο VS Code σχεδόν τετραπλασιάστηκαν σε σύγκριση με το 2024, αυξάνοντας από 27 σε 105 περιπτώσεις.

Αυτή η απότομη αύξηση δείχνει ότι το VS Code Marketplace έχει γίνει ένας ολοένα και πιο ελκυστικός στόχος για κακόβουλους παράγοντες που επιδιώκουν να προσεγγίσουν τις κοινότητες προγραμματιστών.

Αναλυτές ασφαλείας της ReversingLabs αναγνωρισθείς ότι το κακόβουλο λογισμικό εκμεταλλεύεται τον τρόπο με τον οποίο είναι δομημένες οι επεκτάσεις κώδικα VS.

Οι επεκτάσεις έρχονται προσυσκευασμένες με όλες τις εξαρτήσεις τους σε έναν φάκελο node_modules, επιτρέποντάς τους να εκτελούνται χωρίς να χρειάζεται να κάνουν λήψη πρόσθετων στοιχείων.

Οι ερευνητές ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποίησαν όπλο το δημοφιλές πακέτο npm «path-is-absolute», το οποίο έχει συγκεντρώσει πάνω από 9 δισεκατομμύρια λήψεις από το 2021.

Προσθέτοντας κακόβουλο κώδικα σε αυτήν την εξάρτηση στις επεκτάσεις τους, μετέτρεψαν ένα αξιόπιστο στοιχείο σε μηχανισμό παράδοσης για τον trojan.

Τεχνικός Μηχανισμός Λοιμώξεων

Η διαδικασία μόλυνσης ξεκινά με την εκκίνηση του VS Code. Το αρχείο index.js του τροποποιημένου πακέτου περιέχει μια νέα κλάση που ενεργοποιείται αυτόματα κατά την εκκίνηση.

Αυτή η κλάση αποκωδικοποιεί ένα σταγονόμετρο JavaScript που είναι κρυμμένο μέσα στο κακόβουλο αρχείο banner.png. Το ίδιο το σταγονόμετρο ήταν κρυμμένο μέσω κωδικοποίησης base64 και αντιστροφής συμβολοσειράς, καθιστώντας δύσκολη τη χειροκίνητη ανάλυση.

Όταν εκτελείται, αυτό το dropper αναπτύσσει δύο κακόβουλα δυαδικά αρχεία χρησιμοποιώντας το cmstp.exe, ένα νόμιμο εργαλείο των Windows που καταχρώνται οι εισβολείς.

Το ένα δυαδικό διαχειρίζεται τη διαδικασία επίθεσης, ενώ το άλλο είναι ένα πιο εξελιγμένο trojan βασισμένο στο Rust του οποίου οι πλήρεις δυνατότητες ήταν ακόμα υπό διερεύνηση τη στιγμή της ανακάλυψης.

Τέσσερις επεκτάσεις στην καμπάνια χρησιμοποίησαν εναλλακτικές μεθόδους, χωρίζοντας τα δυαδικά αρχεία σε ξεχωριστά αρχεία .ts και .map αντί να τα κρύψουν σε αρχεία PNG.

Οι ομάδες ανάπτυξης θα πρέπει να ελέγχουν αμέσως τις εγκατεστημένες επεκτάσεις τους, να επαληθεύουν τις πηγές τους και να χρησιμοποιούν εργαλεία σάρωσης ασφαλείας πριν από την εγκατάσταση, για να αποφευχθεί η παραβίαση.