Dua ekstensi berbahaya di Visual Studio Code Marketplace Microsoft menginfeksi mesin pengembang dengan malware pencuri informasi yang dapat mengambil tangkapan layar, mencuri kredensial, dompet kripto, dan membajak sesi browser.
Pasar menghosting ekstensi untuk lingkungan pengembangan terintegrasi (IDE) VSCode yang populer untuk memperluas fungsionalitas atau menambahkan opsi penyesuaian.
Dua ekstensi berbahaya, yang disebut Bitcoin Black dan Codo AI, masing-masing menyamar sebagai tema warna dan asisten AI, dan diterbitkan dengan nama pengembang ‘BigBlack.’
Pada saat penulisan, Codo AI masih hadir di pasar, meskipun jumlah unduhannya kurang dari 30. Penghitung Bitcoin Black hanya menunjukkan satu pemasangan.
Sumber: BleepingComputer.com
Menurut Koi Security, ekstensi jahat Bitcoin Black menampilkan peristiwa aktivasi “*” yang dijalankan pada setiap tindakan VSCode. Itu juga dapat menjalankan kode PowerShell, sesuatu yang tidak diperlukan oleh sebuah tema dan harus menjadi tanda bahaya.
Dalam versi yang lebih lama, Bitcoin Black menggunakan skrip PowerShell untuk mengunduh arsip muatan yang dilindungi kata sandi, yang menciptakan jendela PowerShell yang terlihat dan dapat memperingatkan pengguna.
Namun, dalam versi yang lebih baru, proses beralih ke skrip batch (bat.sh) yang memanggil ‘keriting’ untuk mengunduh file DLL dan file yang dapat dieksekusi, dan aktivitas terjadi dengan jendela tersembunyi.
Sumber: Keamanan Koi
Idan Dardikman dari Koi Security mengatakan bahwa Codo AI memiliki fungsi bantuan kode melalui ChatGPT atau DeepSeek, tetapi juga menyertakan bagian berbahaya.
Kedua ekstensi tersebut mengirimkan alat tangkapan layar Lightshot yang dapat dieksekusi dan file DLL berbahaya yang dimuat melalui teknik pembajakan DLL untuk menyebarkan infostealer dengan nama runtime.exe.
DLL berbahaya ditandai sebagai ancaman oleh 29 dari 72 mesin antivirus di Virus Total, catat peneliti dalam a laporan Hari ini.
Malware membuat direktori di ‘%APPDATA%Lokal‘ dan membuat direktori bernama Evelyn untuk menyimpan data yang dicuri: detail tentang proses yang berjalan, konten papan klip, kredensial WiFi, informasi sistem, tangkapan layar, daftar program yang diinstal, dan proses yang berjalan.
sumber: BleepingComputer
Untuk mencuri cookie dan membajak sesi pengguna, malware meluncurkan browser Chrome dan Edge dalam mode tanpa kepala sehingga dapat mengambil cookie yang disimpan dan membajak sesi pengguna.
Malware ini juga mencuri dompet mata uang kripto seperti Phantom, Metamask, Exodus. Ini mencari kata sandi dan kredensial
BleepingComputer telah menghubungi Microsoft tentang kehadiran ekstensi di pasar, namun komentar tidak segera tersedia.
Ekstensi VS Code yang berbahaya telah didorong ke platform yang menyediakan ekstensi dengan IDE VS Code, seperti OpenVSX dan Visual Studio Code, salah satu kampanye yang paling menonjol adalah Cacing kaca.
Pengembang dapat meminimalkan risiko ekstensi VSCode yang berbahaya dengan menginstal proyek hanya dari penerbit terkemuka.
Pembaruan 12/9 – Juru bicara Microsoft kini telah mengonfirmasi kepada BleepingComputer bahwa kedua ekstensi berbahaya telah dihapus dari VSCode Market.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
