VSCode-krypto-utvidelser står overfor en alvorlig sikkerhetstrussel. Nettkriminelle knyttet til en gruppe kjent som WhiteCobra har fylt Visual Studio Code Marketplace og OpenVSX med ondsinnede utvidelser designet for å stjele kryptolommebøker, nettleserdata og innloggingsopplysninger. Disse falske utvidelsene etterligner legitime utviklerverktøy og lurer brukere til å laste ned skadevare som kompromitterer systemene deres.
WhiteCobras strategi
WhiteCobra distribuerer falske utvidelser med navn og merkevare som ligner på betrodde. Ved å kopiere logoer, beskrivelser og blåse opp nedlastingstall skaper gruppen en illusjon av legitimitet. Når de er installert, laster utvidelsene ned nye skadevarekomponenter som varierer avhengig av operativsystem.
På Windows starter utvidelsen PowerShell-kommandoer som kjører Python-skript. Disse laster inn shellcode som distribuerer LummaStealer, en velkjent skadevare som stjeler informasjon.
På macOS leveres ondsinnede Mach-O-filer som kompromitterer enhetene.
På ARM-systemer forsøker skreddersydde skript lignende infiltrasjonstaktikker.
Denne plattformuavhengige tilnærmingen gjør at et bredt spekter av utviklere og kryptobrukere forblir sårbare.
Eksempler på ondsinnede utvidelser
Etterforskere identifiserte flere utvidelser lastet opp under villedende navn:
OpenVSX (Cursor/Windsurf): ChainDevTools.solidity-pro, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Crypto-Extensions.solidity.
VSCode Marketplace: JuanFBlanco.awswhh, ETHFoundry.etherfoundrys, MarcusLockwood.wgbk, ShowSnowcrypto.SnowShoNo.
Disse imitasjonene retter seg mot populære blokkjedeverktøy og kryptoverktøy, noe som gjør dem spesielt farlige for utviklere som jobber med Web3-prosjekter.
Hvorfor det er farlig
VSCode-krypto-utvidelser har høy tillit, men WhiteCobra har utnyttet denne tilliten. Mange utviklere baserer valget av verktøy på nedlastingstall, anmeldelser og kjente navn. Ved å manipulere disse signalene øker angriperne sjansene for infeksjon. Når skadevaren er aktiv, kan den tømme lommebøker, stjele lagrede nettleseropplysninger og eksponere sensitiv prosjektdata.
Hvordan utviklere kan beskytte seg
For å beskytte seg mot slike trusler bør utviklere:
- Laste ned utvidelser kun fra verifiserte utgivere med dokumentert historikk.
- Dobbeltsjekke navn for stavefeil eller små variasjoner.
- Være forsiktige med nye utvidelser som plutselig får mange nedlastinger eller anmeldelser.
- Undersøke utvidelsesfiler når mulig for å oppdage mistenkelige skript.
- Bruke endepunktsbeskyttelse og sandbox-verktøy for ekstra sikkerhet.
Konklusjon
WhiteCobras kampanje fremhever de økende risikoene som skjuler seg i VSCode-krypto-utvidelser. Å stole på kjente navn eller oppblåste popularitetstall kan føre til alvorlige brudd. Utviklere og kryptointeresserte må være årvåkne, verifisere kildene til utvidelser og følge strenge sikkerhetsrutiner før nye verktøy installeres.

0 responses to “VSCode-krypto-utvidelser under angrep av WhiteCobra”