HackerNews 编译,转载请注明出处:
网络安全研究人员发现,Visual Studio Code(VSCode) Marketplace上存在两个恶意扩展,它们会向用户部署处于开发阶段的勒索软件。
这两个名为“ahban.shiba”和“ahban.cychelloworld”的扩展,已被市场维护人员下架。
据ReversingLabs称,这两个扩展包含代码,旨在调用PowerShell命令,从命令与控制(C2)服务器获取PowerShell脚本负载并执行。
该负载被怀疑是处于早期开发阶段的勒索软件,仅加密受害者Windows桌面名为“testShiba”文件夹中的文件。
文件加密后,PowerShell负载显示消息:“您的文件已被加密。向ShibaWallet支付1个柴犬币以恢复它们。”
然而,没有向受害者提供其他说明或加密货币钱包地址,这进一步表明该恶意软件可能仍在开发中。
几个月前,软件供应链安全公司发现多个恶意扩展,其中一些伪装成Zoom,但具有从远程服务器下载未知第二阶段负载的功能。
上周,Socket详细描述了一个恶意Maven包,它伪装成scribejava-core OAuth库,每月15日秘密收集并泄露OAuth凭证,突出显示了旨在逃避检测的时间触发机制。
该库于2024年1月25日上传至Maven Central,目前仍可从该存储库下载。
“攻击者使用typoquatting——创建几乎相同的名称来欺骗开发人员添加恶意包,”安全研究员库什·潘迪亚说。“有趣的是,这个恶意包有六个依赖包。”
“它们都是typoquatting合法包,但使用相同的groupId(io.github.leetcrunch),而不是真实的命名空间(com.github.scribejava)。”
采用这种方法的目的是提高恶意库的表面合法性,从而增加开发人员下载并在项目中使用它的可能性。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
