Ekstensi VSCode pencuri kripto yang berbahaya muncul kembali di OpenVSX

Aktor ancaman bernama TigerJack terus-menerus menargetkan pengembang dengan ekstensi jahat yang dipublikasikan di pasar Visual Code (VSCode) Microsoft dan registri OpenVSX untuk mencuri mata uang kripto dan menanam pintu belakang.

Dua ekstensi, dihapus dari VSCode setelah menghitung 17.000 unduhan, masih ada di OpenVSX. Selain itu, TigerJack menerbitkan ulang kode berbahaya yang sama dengan nama baru di pasar VSCode.

OpenVSX adalah pasar ekstensi sumber terbuka yang dikelola komunitas yang beroperasi sebagai alternatif platform Microsoft, menyediakan registri independen dan netral vendor.

Ini juga merupakan pasar default untuk editor populer yang kompatibel dengan VSCode yang secara teknis atau hukum dibatasi dari VSCode, termasuk Kursor dan selancar angin.

Kampanye ini ditemukan oleh para peneliti di Keamanan Koi dan telah mendistribusikan setidaknya 11 ekstensi VSCode berbahaya sejak awal tahun.

Kedua ekstensi yang dikeluarkan dari pasar VSCode diberi nama Taman Bermain C++ Dan Format HTTPdan telah diperkenalkan kembali di platform melalui akun baru, kata para peneliti.

Saat diluncurkan, C++ Playground mendaftarkan pendengar (‘onDidChangeTextDocument’) untuk file C++ guna mengekstrak kode sumber ke beberapa titik akhir eksternal. Pemroses mengaktifkan sekitar 500 milidetik setelah pengeditan untuk menangkap penekanan tombol hampir secara real-time.

Menurut Koi Security, Format HTTP berfungsi seperti yang diiklankan tetapi secara diam-diam menjalankan penambang CoinIMP di latar belakang, menggunakan kredensial dan konfigurasi hardcode untuk menambang kripto menggunakan kekuatan pemrosesan host.

Penambang tampaknya tidak menerapkan batasan apa pun untuk penggunaan sumber daya, memanfaatkan seluruh daya komputasi untuk aktivitasnya.

Kategori ekstensi berbahaya lainnya dari TigerJack (cppplayground, httpformatDan format python) mengambil kode JavaScript dari alamat hardcode dan menjalankannya di host.

Alamat jarak jauh (ab498.pythonanywhere.com/static/in4.js) disurvei setiap 20 menit, memungkinkan eksekusi kode arbitrer tanpa memperbarui ekstensi.

Para peneliti berkomentar bahwa, tidak seperti pencuri kode sumber dan penambang kripto, tipe ketiga ini jauh lebih mengancam, karena memiliki fungsionalitas yang lebih luas.

“TigerJack dapat secara dinamis mendorong muatan berbahaya apa pun tanpa memperbarui ekstensi—mencuri kredensial dan kunci API, menyebarkan ransomware, menggunakan mesin pengembang yang telah disusupi sebagai titik masuk ke jaringan perusahaan, memasukkan pintu belakang ke dalam proyek Anda, atau memantau aktivitas Anda secara real-time.” – Keamanan Koi

Para peneliti mengatakan bahwa TigerJack adalah “operasi multi-akun terkoordinasi” yang disamarkan oleh ilusi pengembang independen dengan latar belakang yang kredibel seperti repositori GitHub, merek, daftar fitur terperinci, dan nama ekstensi yang mirip dengan alat yang sah.

Koi Security melaporkan temuan mereka ke OpenVSX, namun pengelola registri belum merespons hingga waktu publikasi dan kedua ekstensi tersebut tetap tersedia untuk diunduh.

Pengembang yang menggunakan platform untuk mencari perangkat lunak disarankan untuk hanya mengunduh paket dari penerbit yang bereputasi dan dapat dipercaya.