VSCode-kryptotillägg står inför ett allvarligt säkerhetshot. Cyberkriminella kopplade till en grupp känd som WhiteCobra har fyllt Visual Studio Code Marketplace och OpenVSX med skadliga tillägg utformade för att stjäla kryptoplånböcker, webbläsardata och inloggningsuppgifter. Dessa falska tillägg imiterar legitima utvecklingsverktyg och lurar användare att ladda ner skadlig kod som komprometterar deras system.

WhiteCobras strategi

WhiteCobra sprider falska tillägg med namn och varumärken som liknar betrodda. Genom att kopiera logotyper, beskrivningar och blåsa upp nedladdningssiffror skapar gruppen en illusion av legitimitet. När de väl är installerade laddar tilläggen ner ytterligare skadliga komponenter som varierar beroende på operativsystem.

På Windows startar tillägget PowerShell-kommandon som kör Python-skript. Dessa laddar shellcode som distribuerar LummaStealer, en välkänd informationsstjälande skadlig kod.

På macOS levereras skadliga Mach-O-filer som komprometterar enheterna.

På ARM-system försöker skräddarsydda skript liknande infiltrationstaktiker.

Denna plattformsoberoende metod gör att en bred grupp utvecklare och kryptoanvändare förblir sårbara.

Exempel på skadliga tillägg

Utredare identifierade flera tillägg som laddats upp under vilseledande namn:

OpenVSX (Cursor/Windsurf): ChainDevTools.solidity-pro, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Crypto-Extensions.solidity.

VSCode Marketplace: JuanFBlanco.awswhh, ETHFoundry.etherfoundrys, MarcusLockwood.wgbk, ShowSnowcrypto.SnowShoNo.

Dessa imitationer riktar sig mot populära blockchain- och kryptoverktyg, vilket gör dem särskilt farliga för utvecklare som arbetar med Web3-projekt.

Varför det är farligt

VSCode-kryptotillägg åtnjuter stor tillit, men WhiteCobra har utnyttjat detta förtroende. Många utvecklare förlitar sig på nedladdningssiffror, recensioner och välkända namn vid val av verktyg. Genom att manipulera dessa signaler ökar angriparna sina chanser att infektera system. När skadlig kod väl är aktiv kan den tömma plånböcker, stjäla sparade webbläsaruppgifter och exponera känsliga projektdata.

Hur utvecklare kan skydda sig

För att försvara sig mot dessa hot bör utvecklare:

  • Endast ladda ner tillägg från verifierade utgivare med en bevisad historik.
  • Kontrollera namn noga för stavfel eller små variationer.
  • Vara försiktiga med nya tillägg som plötsligt får många nedladdningar eller recensioner.
  • Granska tilläggsfiler när det är möjligt för att identifiera misstänkta skript.
  • Använda endpoint-skydd och sandbox-verktyg för extra säkerhet.

Slutsats

WhiteCobras kampanj belyser de växande riskerna som döljer sig i VSCode-kryptotillägg. Att lita på välkända namn eller uppblåsta popularitetsmått kan leda till förödande intrång. Utvecklare och kryptointresserade måste vara vaksamma, verifiera källorna till tillägg och anta strikta säkerhetsrutiner innan nya verktyg installeras.


0 svar till ”VSCode-kryptotillägg under attack av WhiteCobra”