Ciberseguridad 360 | VSCode Marketplace elimina dos extensiones que propagaban ransomware en etapa inicial

Investigadores de ciberseguridad han descubierto dos extensiones maliciosas en el mercado de Visual Studio Code (VSCode) dise�adas para desplegar ransomware en desarrollo entre sus usuarios.

Las extensiones, denominadas "ahban.shiba" y "ahban.cychelloworld", han sido retiradas por los responsables del mercado.

Ambas extensiones, seg�n ReversingLabs, incorporan c�digo dise�ado para invocar un comando PowerShell, que a su vez toma un payload de script PowerShell de un servidor de comando y control (C2) y la ejecuta.

Se sospecha que el payload es un ransomware en fase temprana de desarrollo, que s�lo cifra los archivos de una carpeta llamada "testShiba" en el escritorio de Windows de la v�ctima.

Una vez cifrados los archivos, el payload PowerShell muestra un mensaje que dice "Sus archivos han sido cifrados. Pague 1 ShibaCoin a ShibaWallet para recuperarlos".

Sin embargo, no se proporcionan a las v�ctimas otras instrucciones o direcciones de monederos de criptomonedas, otro indicio de que el malware est� probablemente en fase de desarrollo por parte de los actores de la amenaza.

Este hecho se produce un par de meses despu�s de que la empresa de seguridad de la cadena de suministro de software detectara varias extensiones maliciosas, algunas de las cuales se hac�an pasar por Zoom, pero albergaban una funcionalidad para descargar un payload desconocido de segunda etapa desde un servidor remoto.

La semana pasada, Socket detall� un paquete malicioso de Maven que se hac�a pasar por la librer�a OAuth scribejava-core y que secretamente recolectaba y exfiltraba credenciales OAuth el decimoquinto d�a de cada mes, destacando un mecanismo de activaci�n basado en el tiempo que est� dise�ado para evadir la detecci�n.

La librer�a se subi� a Maven Central el 25 de enero de 2024. Sigue estando disponible para su descarga desde el repositorio.

"Los atacantes utilizaron typosquatting - crear un nombre casi id�ntico para enga�ar a los desarrolladores para que a�adieran el paquete malicioso", dijo el investigador de seguridad Kush Pandya. "Curiosamente, este paquete malicioso tiene seis paquetes dependientes".

"Todos ellos son paquetes leg�timos typosquatting pero comparten el mismo groupId (io.github.leetcrunch) en lugar del espacio de nombres real (com.github.scribejava)".

Al adoptar este enfoque, la idea es aumentar la legitimidad percibida de la biblioteca maliciosa, aumentando as� las posibilidades de que un desarrollador la descargue y la utilice en sus proyectos.

Fuente: thehackernews