24 mars 2025Ravie LakshmananMalware / cryptage

Les chercheurs en cybersécurité ont découvert deux extensions malveillantes sur le marché du Code Visual Studio (VSCOD) qui sont conçues pour déployer des ransomwares qui sont en cours de développement envers ses utilisateurs.

Les extensions, nommées “ahban.shiba” et “ahban.cychewelloworld”, ont depuis été supprimées par les agents de marché du marché.

Les deux extensions, par InversionIncorporez le code conçu pour invoquer une commande PowerShell, qui saisit ensuite une charge utile PowerShell-Script à partir d’un serveur de commande et de contrôle (C2) et l’exécute.

Cybersécurité

La charge utile est soupçonnée d’être des ransomwares dans le développement à un stade précoce, ne chiffrant que des fichiers dans un dossier appelé “testshiba” sur le bureau Windows de la victime.

Une fois les fichiers cryptés, la charge utile PowerShell affiche un message, indiquant “Vos fichiers ont été cryptés. Payez 1 Shibacoin à Shibawallet pour les récupérer.”

Cependant, aucune autre instruction ou adresse de portefeuille de crypto-monnaie n’est fournie aux victimes, une autre indication que les logiciels malveillants sont probablement en cours de développement par les acteurs de la menace.

Le développement intervient quelques mois après que la société de sécurité de la chaîne d’approvisionnement logicielle a signalé plusieurs extensions malveillantes, dont certaines se sont dégagées de zoom, mais ont nourri la fonctionnalité pour télécharger une charge utile inconnue de deuxième étape d’un serveur distant.

VSCODE Marketplace

La semaine dernière, Socket a détaillé un paquet de maven malveillant imitant le SCRIBEJAVA-CORE BIBLIOTHÈQUE qui récolte secrètement et exfiltre des références d’oauth le quinzième jour de chaque mois, mettant en évidence un mécanisme de déclenchement temporel conçu pour échapper à la détection.

La bibliothèque a été téléchargée sur Maven Central le 25 janvier 2024. Il continue d’être Disponible en téléchargement du référentiel.

Cybersécurité

“Les attaquants ont utilisé la typosquat – créant un nom presque identique pour inciter les développeurs à ajouter le package malveillant”, le chercheur en sécurité Kush Pandya dit. “Fait intéressant, ce forfait malveillant a six packages dépendants.”

“Tous sont des packages légitimes typosquatting mais partagent le même groupId (io.github.leetcrunch) au lieu de l’espace de noms réel (com.github.scribejava).”

En adoptant cette approche, l’idée est de stimuler la légitimité perçue de la bibliothèque malveillante, augmentant ainsi les chances qu’un développeur télécharge et l’utiliserait dans ses projets.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57