VSCode-krypto-udvidelser står over for en alvorlig sikkerhedstrussel. Cyberkriminelle tilknyttet en gruppe kendt som WhiteCobra har fyldt Visual Studio Code Marketplace og OpenVSX med ondsindede udvidelser, der er designet til at stjæle kryptopunge, browserdata og loginoplysninger. Disse falske udvidelser efterligner legitime udviklerværktøjer og narrer brugere til at downloade malware, som kompromitterer deres systemer.

WhiteCobras strategi

WhiteCobra distribuerer falske udvidelser med navne og branding, der ligner betroede. Ved at kopiere logoer, beskrivelser og oppuste downloadtal skaber gruppen en illusion af legitimitet. Når de er installeret, henter udvidelserne yderligere skadelige komponenter, som varierer afhængigt af operativsystem.

På Windows starter udvidelsen PowerShell-kommandoer, som derefter kører Python-scripts. Disse indlæser shellcode, der distribuerer LummaStealer, en velkendt informationsstjælende malware.

På macOS leveres ondsindede Mach-O-filer, der kompromitterer enhederne.

På ARM-systemer forsøger skræddersyede scripts lignende infiltrationstaktikker.

Denne platformuafhængige tilgang sikrer, at en bred vifte af udviklere og kryptobrugere forbliver sårbare.

Eksempler på ondsindede udvidelser

Efterforskere identificerede flere udvidelser, der blev uploadet under vildledende navne:

OpenVSX (Cursor/Windsurf): ChainDevTools.solidity-pro, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Crypto-Extensions.solidity.

VSCode Marketplace: JuanFBlanco.awswhh, ETHFoundry.etherfoundrys, MarcusLockwood.wgbk, ShowSnowcrypto.SnowShoNo.

Disse imitationer retter sig mod populære blockchain- og kryptoværktøjer, hvilket gør dem særligt farlige for udviklere, der arbejder med Web3-projekter.

Hvorfor det er farligt

VSCode-krypto-udvidelser nyder bred tillid, men WhiteCobra har udnyttet denne tillid. Mange udviklere vælger værktøjer baseret på downloadtal, anmeldelser og kendte navne. Ved at manipulere disse signaler øger angriberne chancerne for infektion. Når malwaren først er aktiv, kan den tømme kryptopunge, stjæle gemte browseroplysninger og eksponere følsomme projektdata.

Sådan kan udviklere beskytte sig

For at forsvare sig mod sådanne trusler bør udviklere:

  • Kun downloade udvidelser fra verificerede udgivere med en dokumenteret historik.
  • Dobbelttjekke navne for stavefejl eller små variationer.
  • Være på vagt over for nye udvidelser med pludselige stigninger i downloads eller anmeldelser.
  • Undersøge udvidelsesfiler, når det er muligt, for at identificere mistænkelige scripts.
  • Bruge endpoint-beskyttelse og sandbox-værktøjer for ekstra sikkerhed.

Konklusion

WhiteCobras kampagne understreger de voksende risici, der skjuler sig i VSCode-krypto-udvidelser. At stole på kendte navne eller oppustede popularitetsmålinger kan føre til alvorlige brud. Udviklere og kryptointeresserede må være årvågne, verificere kilderne til udvidelser og anvende strenge sikkerhedspraksisser, før nye værktøjer installeres.


0 svar til “VSCode-krypto-udvidelser under angreb af WhiteCobra”