Penjahat dunia maya mulai menargetkan Pasar VSCode Microsoft, mengunggah tiga ekstensi Visual Studio berbahaya yang diunduh 46.600 kali oleh pengembang Windows.
Berdasarkan Titik Periksayang analisnya menemukan ekstensi berbahaya dan melaporkannya ke Microsoft, malware tersebut memungkinkan pelaku ancaman untuk mencuri kredensial, informasi sistem, dan membuat shell jarak jauh di mesin korban.
Ekstensi ditemukan dan dilaporkan pada 4 Mei 2023, dan kemudian dihapus dari pasar VSCode pada 14 Mei 2023.
Namun, setiap pengembang perangkat lunak yang masih menggunakan ekstensi jahat harus menghapusnya secara manual dari sistem mereka dan menjalankan pemindaian lengkap untuk mendeteksi sisa-sisa infeksi.
Kasus berbahaya di VSCode Marketplace
Visual Studio Code (VSC) adalah editor kode sumber yang diterbitkan oleh Microsoft dan digunakan oleh persentase yang signifikan pengembang perangkat lunak profesional di seluruh dunia.
Microsoft juga mengoperasikan pasar ekstensi untuk IDE yang disebut Pasar VSCode, yang menawarkan lebih dari 50.000 add-on yang memperluas fungsionalitas aplikasi dan menyediakan lebih banyak opsi penyesuaian.
Ekstensi berbahaya yang ditemukan oleh peneliti Check Point adalah sebagai berikut:
‘Tema Darcula gelap’ – Digambarkan sebagai “upaya untuk meningkatkan konsistensi warna Dracula pada Kode VS,” ekstensi ini digunakan untuk mencuri informasi dasar tentang sistem pengembang, termasuk nama host, sistem operasi, platform CPU, total memori, dan informasi tentang CPU.
Meskipun ekstensi tidak mengandung aktivitas jahat lainnya, itu bukanlah perilaku umum yang terkait dengan paket tema.
Ekstensi ini paling banyak beredar sejauh ini, diunduh lebih dari 45.000 kali.
‘python-vscode’ – Ekstensi ini diunduh 1.384 kali meskipun deskripsinya kosong dan nama pengunggahnya ‘testUseracc1111’, menunjukkan bahwa memiliki nama yang baik sudah cukup untuk menarik minat.
Analisis kodenya menunjukkan bahwa itu adalah injektor shell C# yang dapat mengeksekusi kode atau perintah pada mesin korban.
‘jawa tercantik’ – Berdasarkan nama dan deskripsi ekstensi, kemungkinan dibuat untuk meniru yang populer ‘lebih cantik-java‘ alat pemformatan kode.
Pada kenyataannya, itu mencuri kredensial yang disimpan atau token otentikasi dari Discord dan Discord Canary, Google Chrome, Opera, Brave Browser, dan Yandex Browser, yang kemudian dikirim ke penyerang melalui webhook Discord.
Ekstensi telah memiliki 278 instalasi.
Check Point juga menemukan beberapa ekstensi yang mencurigakan, yang tidak dapat dikategorikan sebagai berbahaya dengan pasti, tetapi menunjukkan perilaku yang tidak aman, seperti mengambil kode dari repositori pribadi atau mengunduh file.
Repositori perangkat lunak memiliki risiko
Repositori perangkat lunak yang memungkinkan kontribusi pengguna, seperti NPM dan PyPi, telah terbukti waktu dan waktu lagi menjadi berisiko untuk digunakan karena mereka telah menjadi target populer bagi pelaku ancaman.
Sementara VSCode Marketplace baru mulai ditargetkan, AquaSec mendemonstrasikan pada bulan Januari cukup mudah untuk mengunggah ekstensi jahat ke VSCode Marketplace dan menyajikan beberapa kasus yang sangat mencurigakan. Namun, mereka tidak dapat menemukan malware apa pun.
Kasus yang ditemukan oleh Check Point menunjukkan bahwa pelaku ancaman sekarang secara aktif berusaha menginfeksi pengembang Windows dengan kiriman berbahaya, persis seperti yang mereka lakukan di repositori perangkat lunak lain seperti NPM dan PyPI.
Pengguna VSCode Marketplace, dan semua repositori yang didukung pengguna, disarankan untuk hanya memasang ekstensi dari penerbit tepercaya dengan banyak unduhan dan peringkat komunitas, membaca ulasan pengguna, dan selalu memeriksa kode sumber ekstensi sebelum memasangnya.
