В VSCode Marketplace были обнаружены сразу два вредоносных расширения, которые скрывали в себе вымогательское ПО. Одно из них появилось в магазине Microsoft еще в октябре прошлого года и долго оставалось незамеченным.

Расширения ahban.shiba и ahban.cychelloworld были загружены семь и восемь раз соответственно, прежде чем их все же удалили из магазина. При этом расширение ahban.cychelloworld было загружено в магазин еще 27 октября 2024 года, а ahban.shiba — 17 февраля 2025 года, минуя все проверки безопасности.

Малварь была замечена экспертами компании ReversingLabs, которые пишут, что оба расширения содержали PowerShell-команду, которая загружала и выполняла другой PowerShell-скрипт с удаленного сервера Amazon AWS. Этот скрипт отвечал за развертывание вымогательского ПО.

По словам исследователей, сам вымогатель явно находится в стадии разработки или тестирования, поскольку пока он шифрует только файлы в папке C:\users\%username%\Desktop\testShiba и не трогает другие.

По окончании шифрования скрипт выводит на экран предупреждение: «Ваши файлы зашифрованы. Чтобы восстановить их, заплатите 1 ShibaCoin на ShibaWallet». Никаких дополнительных инструкций и других требований нет, в отличие от классических вымогательских атак.

После того как исследователи ReversingLabs уведомили Microsoft о вымогательской малвари, компания оперативно удалила оба расширения из VSCode Marketplace.

Как сообщает издание Bleeping Computer, со ссылкой на ИБ-исследователя из ExtensionTotal Итали Крук (Italy Kruk), автоматическое сканирование и ранее обнаруживало эти вредоносные расширения в VSCode Marketplace, однако специалисту не удалось связаться с представителями компании.

Крук объясняет, что изначально ahban.cychelloworld не было вредоносным, и вымогательский код появился после загрузки версии 0.0.2, которая была принята на VSCode Marketplace 24 ноября 2024 года. После этого расширение ahban.cychelloworld получило еще пять обновлений, и все они тоже содержали вредоносный код.

«Мы сообщили Microsoft о ahban.cychelloworld 25 ноября 2024 года с помощью автоматического отчета, сгенерированного нашим сканером. Возможно, из-за небольшого количества установок этого расширения Microsoft не придала сообщению приоритетного значения», — говорит эксперт.

Эксперты отмечают, что оба расширения загружали и выполняли удаленные скрипты PowerShell, однако сумели остаться незамеченными на протяжении нескольких месяцев, что явно свидетельствует о серьезных недочетах в процессах проверки Microsoft.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии