OpenVSX-orme, der stjæler kryptovaluta, retter sig mod udviklere via ondsindede udvidelser

OpenVSX-orme, der stjæler kryptovaluta, retter sig aktivt mod udviklere ved at misbruge tilliden til åbne markedspladser for udvidelser. Sikkerhedsforskere har afsløret ondsindede Visual Studio Code-udvidelser, der distribueres via Open VSX-registret og i det skjulte installerer malware designet til at stjæle legitimationsoplysninger og kryptovalutaaktiver. Kampagnen viser, hvordan udviklermiljøer er blevet højværdimål for angribere, der søger langsigtet adgang og økonomisk gevinst.

Ved at indlejre malware i værktøjer, der fremstår som legitime, kan angribere nå tusindvis af systemer, før aktiviteten opdages.

Sådan fungerer OpenVSX-ormene, der stjæler kryptovaluta

Angrebet begynder, når en udvikler installerer en kompromitteret udvidelse fra Open VSX-registret. Udvidelserne fungerer som annonceret, hvilket reducerer mistanke. Efter installationen aktiveres skjult malware i baggrunden og etablerer vedvarende adgang til systemet.

Malwaren scanner enheden for følsomme oplysninger, herunder GitHub-tokens, npm-legitimationsoplysninger, SSH-nøgler, browsercookies og lagrede hemmeligheder. Den retter sig også mod kryptotegnebøger ved at søge efter private nøgler, wallet-udvidelser og konfigurationsfiler knyttet til blockchain-udviklingsmiljøer.

Denne kombination af udvikleroplysninger og kryptovalutaaktiver øger værdien af hvert kompromitteret system markant.

Avancerede teknikker anvendt af malwaren

OpenVSX-ormene anvender forsinket aktivering og kraftig obfuskering for at undgå opdagelse. I stedet for at kommunikere med traditionelle kommando- og kontrolservere benytter malwaren usædvanlig infrastruktur til at modtage instruktioner, hvilket gør nedlukning vanskeligere.

Når malwaren først er aktiv, kan den opdatere sig selv, ændre adfærd og tilpasse sig forskellige miljøer. Disse egenskaber gør det muligt for angribere at bevare adgang over tid og fortsætte med at udtrække data, mens udviklere arbejder videre på inficerede systemer.

Denne tilgang afspejler et skift mod mere skjulte og langvarige infektioner.

Konsekvenser for udviklere og projekter

Kompromitterede udviklermaskiner skaber omfattende følgevirkninger. Stjålne legitimationsoplysninger kan give angribere adgang til private repositories, CI/CD-pipelines og cloudmiljøer. I blockchain-projekter kan lækkede nøgler føre direkte til tømte tegnebøger og irreversible økonomiske tab.

Da udviklere ofte har forhøjede rettigheder, kan én inficeret arbejdsstation muliggøre bredere kompromittering af leverandørkæden. Angribere kan bruge stjålne tokens til at indsætte ondsindet kode i yderligere udvidelser eller softwarepakker og dermed udvide angrebets omfang ud over de oprindelige ofre.

Dette gør udviklerrettet malware særligt farlig.

Hvorfor markedspladser for udvidelser er attraktive mål

Markedspladser for udvidelser er i høj grad baseret på tillid og automatisering. Selvom mange platforme scanner for ondsindet adfærd, forfiner angribere løbende deres teknikker for at omgå kontroller. Open source-registre prioriterer ofte tilgængelighed, hvilket sænker barriererne for både legitime bidragydere og angribere.

Udviklere installerer ofte udvidelser for at øge produktiviteten uden at gennemgå kildekode eller udgiverhistorik. Denne adfærd giver malware mulighed for at sprede sig stille via udbredte værktøjer.

OpenVSX-ormene udnytter denne tillidsmodel i stor skala.

Sådan kan udviklere reducere risikoen

Udviklere bør begrænse installationen af udvidelser til betroede udgivere og regelmæssigt fjerne ubrugte plugins. Rotation af legitimationsoplysninger, stram adgangsstyring og hardwarebaseret sikring af kryptotegnebøger kan reducere skadesomfanget ved et kompromis.

Overvågning af udgående netværkstrafik og gennemgang af usædvanlig systemadfærd kan bidrage til tidlig opdagelse. Adskillelse af udviklingsmiljøer fra højværditegnebøger og produktionslegitimationsoplysninger kan yderligere begrænse konsekvenserne, hvis et system kompromitteres.

Forebyggende foranstaltninger er afgørende, i takt med at angreb mod leverandørkæder fortsætter med at udvikle sig.

Konklusion

Kampagnen med OpenVSX-orme, der stjæler kryptovaluta, viser, hvordan angribere i stigende grad retter sig mod udviklerøkosystemer for at stjæle legitimationsoplysninger og kryptovalutaaktiver i stor skala. Ved at skjule malware i betroede udvidelser kan angribere kompromittere systemer uden at vække opmærksomhed og bevare langsigtet adgang. Efterhånden som udviklerværktøjer bliver tættere integreret med følsom infrastruktur, må sikkerhedspraksis tilpasses for at håndtere disse voksende risici i softwareforsyningskæden.