Sono state scoperte due estensioni dannose di VSCode Marketplace che distribuivano ransomware in fase di sviluppo, evidenziando lacune critiche nel processo di revisione di Microsoft.
Le estensioni, denominate "ahban.shiba" e "ahban.cychelloworld", sono state scaricate rispettivamente sette e otto volte, prima di essere infine rimosse dallo store.
È degno di nota che le estensioni siano state caricate sul VSCode Marketplace il 27 ottobre 2024 (ahban.cychelloworld) e il 17 febbraio 2025 (ahban.shiba), aggirando i processi di revisione della sicurezza e rimanendo nello store di Microsoft per un lungo periodo di tempo.
VSCode Marketplace è una piattaforma online in cui gli sviluppatori possono trovare, installare e condividere estensioni per Visual Studio Code (VSCode). È ampiamente utilizzato da sviluppatori software e web, data scientist e programmatori.
ReversingLabs ha scoperto che le due estensioni contengono un comando PowerShell che scarica ed esegue un altro script PS che agisce come ransomware da un server remoto ospitato su Amazon AWS.
Il ransomware è chiaramente in fase di sviluppo o di test, poiché crittografa solo i file nella cartella C:\users\%username%\Desktop\testShiba e non tocca nessun altro file.
Una volta terminata la crittografia dei file, lo script visualizzerà un avviso di Windows che afferma: "I tuoi file sono stati crittografati. Paga 1 ShibaCoin a ShibaWallet per recuperarli". Non vengono fornite note di riscatto o ulteriori istruzioni come nei normali attacchi ransomware.
.jpg)
Script PowerShell ReversingLabs afferma che Microsoft ha rapidamente rimosso le due estensioni dal VSCode Marketplace dopo la segnalazione dei ricercatori.
Tuttavia, Italy Kruk, ricercatore di sicurezza di ExtensionTotal, ha dichiarato a BleepingComputer che il loro scanner automatico aveva individuato le estensioni in precedenza e ne aveva informato Microsoft qualche tempo prima, senza però ricevere alcuna risposta.
Kruk spiega che ahban.cychelloworld non era dannoso nel suo caricamento iniziale. Ha aggiunto il codice ransomware nella sua seconda presentazione, versione 0.0.2, che è stata accettata sul VSCode Marketplace il 24 novembre 2024.
"Abbiamo segnalato ahban.cychelloworld a Microsoft il 25 novembre 2024, tramite un rapporto automatico generato dal nostro scanner", ha detto Kruk a BleepingComputer.
"È possibile che, a causa del basso numero di installazioni dell'estensione incriminata, Microsoft non abbia dato priorità alla sua revisione."
Da allora, l'estensione ahban.cychelloworld ha avuto altre cinque versioni, tutte contenenti codice dannoso e tutte accettate nello store di Microsoft.
Il fatto che le estensioni abbiano scaricato ed eseguito script PowerShell remoti e siano riuscite a non essere rilevate per quasi quattro mesi dimostra una preoccupante lacuna nel processo di revisione di Microsoft.
Sebbene in questo caso Microsoft non abbia reagito per mesi, di recente l'azienda ha fatto il contrario, rimuovendo troppo rapidamente i temi VSCode utilizzati da 9 milioni di utenti dopo che erano stati segnalati per codice sospetto e offuscato.
Sebbene i temi VSCode non dovrebbero utilizzare JavaScript offuscato, è stato successivamente dimostrato che le estensioni "Material Theme – Free" e "Material Theme Icons – Free" non sono dannose.
Microsoft si è scusata per la rimozione ingiustificata e il ban del suo editore e ha affermato che avrebbe aggiornato i suoi "scanner e processi di indagine per ridurre la probabilità che si verifichi un altro evento come questo".
Nessun commento:
Posta un commento