网络安全研究人员标记了一个恶意的Visual Studio Code(VS Code)扩展,该扩展具有基本的勒索软件功能,该功能似乎是在人工智能的帮助下创建的——换句话说,是振动编码的。
安全附件研究员John Tuckner标记了扩展名“susvsex”,他说它并没有试图隐藏其恶意功能。该扩展于2025年11月5日由一个名为“suspublisher18”的用户上传,并附上“Just testing”的描述和电子邮件地址“donotsupport@example[.]com”。
“在首次启动时自动压缩、上传和加密来自C:\Users\Public\testing(Windows)或/tmp/testing(macOS)的文件,”扩展的描述。截至11月6日,微软已介入将其从官方VS代码扩展市场中删除。
根据“suspublisher18”共享的详细信息,该扩展程序旨在在任何事件中自动激活自己,包括安装或启动VS Code时,并调用一个名为“zipUploadAndEncrypt”的函数,该函数创建目标目录的ZIP存档,将其过滤到远程服务器,并用其加密版本替换文件。
Tuckner说,幸运的是,TARGET_DIRECTORY被配置为测试暂存目录,因此它现在影响不大,但可以通过扩展版本或通过下一个C2通道发送的命令轻松更新。
除了加密外,恶意扩展还使用GitHub作为命令和控制(C2),通过分发私有GitHub存储库,通过解析“index.html”文件来执行任何新命令。命令执行的结果使用嵌入代码中的GitHub访问令牌写入“requirements.txt”文件中的同一存储库。
与存储库关联的GitHub帐户——aykhanmv——继续活跃,开发人员声称来自阿塞拜疆巴库市。
Tuckner说,详细功能的外部评论、带有执行指令的README文件和占位符变量是’振动编码’恶意软件的明显迹象。扩展包意外地包括解密工具、命令和控制服务器代码、C2服务器的GitHub访问密钥,其他人可以用它来接管C2。
木马化npm软件包Drop Vidar Infostealer
Datadog Security Labs发掘了17个npm软件包,这些软件包伪装成良性软件开发工具包(SDK)并提供广告中的功能,但被设计为在受感染的系统上秘密执行Vidar Stealer。这一发展标志着信息窃取器首次通过npm注册表分发。
这家以MUT-4831的名义跟踪集群的网络安全公司表示,一些软件包于2025年10月21日首次标记,随后在第二天和10月26日记录了上传。由名为“aartje”和“saliii229911”的账户发布的包裹名称如下-
- abeya-tg-api
- bael-god-admin
- bael-god-api
- bael-god-thanks
- botty-fork-baby
- cursor-ai-fork
- cursor-app-fork
- custom-telegram-bot-api
- custom-tg-bot-plan
- icon-react-fork
- react-icon-pkg
- sabaoa-tg-api
- sabay-tg-api
- sai-tg-api
- salli-tg-api
- telegram-bot-start
- telegram-bot-starter
虽然这两个帐户此后被禁止,但这些图书馆在被关闭之前至少被下载了2240次。也就是说,Datadog指出,其中许多下载可能是自动刮刀的结果。
攻击链本身相当简单,作为“package.json”文件中指定的安装后脚本的一部分启动,该脚本从外部服务器(“bullethost[.]cloud domain”)下载ZIP存档,并执行ZIP文件中包含的Vidar可执行文件。发现Vidar 2.0样本使用硬编码的Telegram和Steam帐户作为死掉的解析器来获取实际的C2服务器。
在某些变体中,直接嵌入package.json文件中的安装后PowerShell脚本用于下载ZIP存档,然后将执行控制传递到JavaScript文件,以完成攻击的其余步骤。
安全研究人员Tesnim Hamdouni、Ian Kretz和Sebastian Obregoso说,目前还不清楚为什么MUT-4831选择以这种方式更改安装后脚本。一种可能的解释是,在生存检测方面,多样化的实现对威胁行为者是有利的。
这一发现只是针对npm、PyPI、RubyGems和Open VSX的开源生态系统的一长串供应链攻击中的另一个发现,因此开发人员在安装软件包之前进行尽职调查、查看更改日志并注意错别字和依赖混淆等技术至关重要。
消息来源:thehacknews, 翻译整理:安全114;
转摘注明出处 :www.anquan114.com
暂无评论内容