Uma extensão maliciosa do Visual Studio Code que se apresenta como o popular “Material Icon Theme” foi usada para atacar usuários do Windows e macOS, transformando o complemento em um backdoor oculto.
A extensão falsa foi enviada pelo mercado com arquivos backdoor, dando aos invasores um caminho direto para as estações de trabalho dos desenvolvedores depois de instalada.
Após a instalação, a extensão se comportou como um tema de ícone normal, então a maioria dos usuários não tinha motivos para suspeitar que algo estava errado.
Nos bastidores, o pacote continha dois implantes baseados em Rust prontos para executar código nativo em ambos os sistemas operacionais e acessar um servidor de comando remoto.
Os pesquisadores de segurança da Nextron Systems identificaram os implantes na versão 5.29.1 e rastrearam sua execução até um script de carregamento chamado extension.js colocado em dist/extension/desktop próximo às cargas nativas os.node no Windows e darwin.node no macOS.
Isso mostra como os arquivos maliciosos espelham a árvore de pastas da extensão real para serem integrados.
darwin.node dylib (Fonte – Sistemas Nextron)
Depois que a extensão é ativada no VS Code, extension.js carrega o implante Rust correto para a plataforma atual e passa o controle para o código do invasor.
A partir desse momento, a extensão deixa de ser um complemento inofensivo e passa a ser um carregador para outras etapas totalmente controladas de fora da máquina vítima.
Mecanismo de infecção e cadeia de comando
Esta seção fornece uma análise técnica completa de como os implantes se comunicam com seu servidor de comando e buscam cargas de acompanhamento.
Os binários Rust não usam uma URL fixa. Em vez disso, eles extraem suas instruções de dados armazenados em um endereço de carteira blockchain Solana, que atua como um canal de controle difícil de bloquear.
Uma visão simplificada da lógica do carregador em extension.js é mostrada abaixo: –
function ativar() { const bin = process.platform === “win32” ? “os.node”: “darwin.node”; const nativo = require(__dirname + “/desktop/” + bin); nativo.run(); }
O código nativo lê os dados da carteira, decodifica-os em base64 e, em seguida, entra em contato com um servidor de comando para baixar um grande blob base64, que é um arquivo JavaScript criptografado com AES-256-CBC.
Uma alternativa, de um evento do Google Agenda (Fonte – Nextron Systems)
Como backup, o mesmo próximo estágio também pode ser obtido de um evento oculto do Google Agenda que armazena o URL da carga útil com truques Unicode invisíveis. Isso ilustra a cadeia C2 da carteira blockchain até o script descriptografado.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
