Các tiện ích mở rộng đã bị xóa khỏi VSCode sau khi đạt 17.000 lượt tải xuống, hiện nay vẫn còn tồn tại trên OpenVSX. Hơn nữa, TigerJack còn phát hành lại cùng một loại mã độc dưới tên mới trên VSCode.
Các nhà nghiên cứu tại Koi Security phát hiện ra chiến dịch này, đồng thời lưu ý các tin tặc đã phát tán ít nhất 11 tiện ích mở rộng VSCode độc hại kể từ đầu năm nay. Các nhà nghiên cứu cho biết, hai tiện ích mở rộng bị xóa khỏi VSCode có tên là C++ Playground và HTTP Format, từng được giới thiệu lại trên nền tảng này thông qua các tài khoản mới.
Khi được khởi chạy, C++ Playground sẽ đăng ký một trình lắng nghe (onDidChangeTextDocument) cho các tệp C++ để trích xuất mã nguồn đến nhiều điểm cuối bên ngoài. Trình lắng nghe này kích hoạt khoảng 500 mili giây sau khi chỉnh sửa để ghi lại các thao tác bàn phím theo thời gian thực.
Theo Koi Security, HTTP Format hoạt động như chức năng quảng cáo nhưng bí mật chạy CoinIMP miner ở chế độ nền, sử dụng thông tin đăng nhập và cấu hình mã hóa cứng nhằm khai thác tiền điện tử thông qua sức mạnh xử lý của máy chủ. Kẻ tấn công dường như không áp dụng bất kỳ hạn chế nào đối với việc sử dụng tài nguyên, mà tận dụng toàn bộ sức mạnh tính toán cho hoạt động của chúng.
.jpg)
Khai thác tiền điện tử trên máy chủ
Một loại tiện ích mở rộng độc hại khác từ TigerJack (cppplayground, httpformat và pythonformat) sẽ lấy mã JavaScript từ một địa chỉ được mã hóa cứng và thực thi mã đó trên máy chủ.
Địa chỉ từ xa (ab498[.]pythonanywhere[.]com/static/in4[.]js) được thăm dò sau mỗi 20 phút, cho phép thực thi mã tùy ý mà không cần cập nhật phần mở rộng.
.png)
Chức năng độc hại
Các nhà nghiên cứu nhận xét rằng, không giống như các loại phần mềm đánh cắp thông tin và các công cụ khai thác tiền điện tử khác, tiện ích mở rộng của TigerJack nguy hiểm và tinh vi hơn vì chúng có chức năng mở rộng.
“TigerJack có thể tự động đẩy bất kỳ phần mềm độc hại nào mà không cần cập nhật tiện ích mở rộng: Đánh cắp thông tin đăng nhập và khóa API, triển khai mã độc tống tiền, sử dụng máy tính của nhà phát triển bị xâm phạm làm điểm đầu vào, chèn mã độc vào các dự án hoặc theo dõi hoạt động của nạn nhân theo thời gian thực”, Koi Security cho biết.
.jpg)
Tiện ích mở rộng độc hại đã bị xóa khỏi VSCode (bên trái) nhưng vẫn có sẵn trên OpenVSX (bên phải)
Các nhà nghiên cứu lưu ý, TigerJack được ngụy trang là các nhà phát triển độc lập có nền tảng đáng tin cậy như kho lưu trữ GitHub, danh sách tính năng chi tiết và tên tiện ích mở rộng giống với tên của các công cụ hợp pháp.
Koi Security đã báo cáo phát hiện của họ cho OpenVSX, nhưng tổ chức này vẫn chưa phản hồi trước thời điểm công bố và hai tiện ích mở rộng vẫn có sẵn để tải xuống. Các nhà phát triển sử dụng nền tảng này để tìm nguồn phần mềm được khuyến nghị chỉ nên tải xuống các gói từ các nhà xuất bản có uy tín và đáng tin cậy.
