3 月 23 日消息,繼 NPM、PyPI 平臺后,安全公司 ReversingLabs 曝光目前微軟 VS Code 的插件庫也遭黑客濫用,大量黑客在相應平臺中上傳帶有木馬的插件,不知情的開發者安裝后即中招。
相應安全公司舉例兩款惡意插件“ahban.shiba”和“ahban.cychelloworld”, 這兩款插件均隱含惡意腳本,在安裝后即會通過黑客架設的 C2 服務器下載 PowerShell 腳本,進一步在受害者設備中安裝勒索木馬。
IT之家獲悉,相應木馬會在受害者桌面上新建一個名為“testShiba”的文件夾,并將用戶的隱私數據加密后復制到其中,用戶點擊便會顯示黑客預設的勒索信息,要求用戶支付 1 個虛擬貨幣作為贖金,以換取解密密鑰。
值得注意的是,這些惡意插件上架接近 4 個月后才被發現,而安全人員 Italy Kruk 透露,他們在去年 11 月底就發現了這款名為“ahban.cychelloworld”的惡意插件,隨后提報給微軟,但微軟并沒有進行處理。
后來,黑客又為相應惡意插件迭代了 5 個版本,甚至全部順利通過了微軟的審核流程。據此,Italy Kruk 認為微軟可能需要調整審核機制來應對這種情況