Yazılım tedarik zincirinin güvenliğini hedefleyen InvertelAbs Company, Visual Studio Kodunun resmi pazarında zararlı bir kodla iki uzantıyı keşfetti. Görünüşe göre uzantılar Microsoft'un otomatik güvenlik kontrollerini atlayabildi.
Her ikisi de kendilerini bir süredir piyasada buldular, ancak tek aralıkta sadece sayıları indirmeye geliyorlar. Uzantılar HBAN'dan gelir ve Shiba ve Cychelloworld olarak adlandırılır.
Uzantı köpek hayranlarına yönelik olabilir, ancak neredeyse sıklıkla indirilecek şekilde tasarlanmamıştır.
(Resim: InverversingLabs)
Visual Studio koduna fidye yazılımı saldırısı için balon testi?
Önce zararlı uzantılar, Windows altında gerçekleştirip gerçekleştirirseniz ve orada bir PowerShell komutunu gerçekleştirir ve bir komut ve kontrol sunucusundan (C2) gerçek kötülük kodu ile bir PowerShell komut dosyası oluşturan kontrol eder.
Malizia koduna bir bakış, bunun gerçek bir fidye yazılımı saldırısı için bir test balonu olduğunu gösteriyor. Kod, test amacıyla yalnızca özel bir alt dizindeki dosyaları şifreledi: C: Users %Kullanıcı Adı% Desktop Testshipiba.
(Resim: Malizia kodu yalnızca masaüstünde özel bir test dizinindeki dosyaları şifreledi ve bu nedenle bir fidye yazılımı mesajı gösteriyor.)
Bu nedenle senaryo, fidye yazılımının tipik bir uyarı yayar: “Dosyalarınız şifrelenmiştir. Temayı kurtarmak için Shibawallet'te 1 Shibacoin ödeyin.”
Akut tehlike yok, ama kavramın kanıtı
Şimdi piyasadan kaldırılan uzantılar, saf testin işlevi ve düşük indirme sayıları nedeniyle belirli bir tehlike değildir. Ancak, gerçek saldırılar için Microsoft Kod VS'nin güvenlik mekanizmalarından kaçınmanın mümkün olduğunu göstermektedir.
C2 sunucusuna erişim kodunu içeren daha fazla ayrıntı, InverversingLabs'ın Bluesky-Skeets'lerinde mevcuttur.
(RME)
Her ikisi de kendilerini bir süredir piyasada buldular, ancak tek aralıkta sadece sayıları indirmeye geliyorlar. Uzantılar HBAN'dan gelir ve Shiba ve Cychelloworld olarak adlandırılır.
Uzantı köpek hayranlarına yönelik olabilir, ancak neredeyse sıklıkla indirilecek şekilde tasarlanmamıştır.
(Resim: InverversingLabs)
Visual Studio koduna fidye yazılımı saldırısı için balon testi?
Önce zararlı uzantılar, Windows altında gerçekleştirip gerçekleştirirseniz ve orada bir PowerShell komutunu gerçekleştirir ve bir komut ve kontrol sunucusundan (C2) gerçek kötülük kodu ile bir PowerShell komut dosyası oluşturan kontrol eder.
Malizia koduna bir bakış, bunun gerçek bir fidye yazılımı saldırısı için bir test balonu olduğunu gösteriyor. Kod, test amacıyla yalnızca özel bir alt dizindeki dosyaları şifreledi: C: Users %Kullanıcı Adı% Desktop Testshipiba.
(Resim: Malizia kodu yalnızca masaüstünde özel bir test dizinindeki dosyaları şifreledi ve bu nedenle bir fidye yazılımı mesajı gösteriyor.)
Bu nedenle senaryo, fidye yazılımının tipik bir uyarı yayar: “Dosyalarınız şifrelenmiştir. Temayı kurtarmak için Shibawallet'te 1 Shibacoin ödeyin.”
Akut tehlike yok, ama kavramın kanıtı
Şimdi piyasadan kaldırılan uzantılar, saf testin işlevi ve düşük indirme sayıları nedeniyle belirli bir tehlike değildir. Ancak, gerçek saldırılar için Microsoft Kod VS'nin güvenlik mekanizmalarından kaçınmanın mümkün olduğunu göstermektedir.
C2 sunucusuna erişim kodunu içeren daha fazla ayrıntı, InverversingLabs'ın Bluesky-Skeets'lerinde mevcuttur.
(RME)