Uma extensão falsa do Visual Studio Code foi usada em um ataque à cadeia de suprimentos que visa desenvolvedores por meio de seu editor.
A extensão desonesta, chamada prettier-vscode-plus e se passando por um formatador Prettier confiável, apareceu brevemente no VSCode Marketplace oficial antes da remoção.
Depois de instalado, ele extraiu scripts preparados de um repositório GitHub chamado vscode na conta biwwwwwwwwwww.
Repositório GitHub ‘vscode’ do agente de ameaça contendo cargas VBScript maliciosas (Fonte – Hunt.io)
A extensão se misturou aos fluxos de trabalho normais do desenvolvedor, acionando sua carga útil quando os projetos foram abertos. Nos bastidores, ele buscou um arquivo VBScript ofuscado que serviu como dropper de primeiro estágio.
Este script gravou um carregador do PowerShell na pasta temporária e o executou com sinalizadores de desvio de política de execução, enquanto ocultava todas as janelas do usuário.
Os analistas de segurança da Hunt.io identificaram a atividade após rastrear downloads suspeitos de VBScript de volta ao repositório vscode e vinculá-los à listagem do mercado de curta duração.
O impacto é sério e a carga final é o OctoRAT, uma ferramenta completa de acesso remoto implantada por meio de um componente intermediário conhecido como carregador Anivia.
Juntos, eles permitem a execução de código, roubo de dados de navegadores e carteiras e controle remoto de desktop em sistemas de desenvolvedores.
Embora a extensão tenha tido apenas algumas instalações, os alvos são de alto valor, com acesso ao código-fonte e aos sistemas de produção.
Cadeia de infecção e comportamento do carregador
A infecção começa com um conta-gotas VBScript que cria um arquivo PowerShell aleatório no caminho temporário e o preenche com uma carga útil AES codificada em Base64.
Dropper VBScript de primeiro estágio inicializando a descriptografia AES (Fonte – Hunt.io)
O script usa objetos COM como WScript.Shell para executar o carregador sem avisos do usuário. Uma visão simplificada da tarefa de persistência definida posteriormente pelo OctoRAT é semelhante a:
schtasks.exe /create /tn “WindowsUpdate” /tr “” /sc minuto /mo 1 /f
O carregador do PowerShell descriptografa o blob incorporado usando AES-256 no modo CBC e executa o resultado diretamente na memória.
Anivia então assume o controle, armazenando sua carga criptografada em uma matriz de bytes e usando uma chave codificada para descriptografar um executável portátil.
Essa carga útil é injetada no processo vbc.exe confiável por meio do esvaziamento do processo, o que ajuda a evitar verificações comuns de endpoint.
Painel de login do OctoRAT Center (Fonte – Hunt.io)
A partir daí, o OctoRAT é iniciado, define a tarefa WindowsUpdate para repetir a inicialização e abre um canal de comando criptografado para servidores de controle do invasor.
Esta análise técnica completa mostra como uma extensão falsa pode causar uma intrusão completa em poucas etapas.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
