Хакеры прячут вредоносное ПО в инструментах с открытым исходным кодом и расширениях IDE

Недавно обнаруженная кибератака — одна из самых изощренных кампаний, ориентированных на разработчиков, за последние годы — превращает повседневный рабочий процесс разработчиков программного обеспечения в оружие.

Компании, занимающиеся безопасностью, раскрыли вредоносную операцию, в ходе которой злоумышленники внедряют скрытое вредоносное ПО в, казалось бы, безобидные расширения и инструменты с открытым исходным кодом, используемые десятками тысяч разработчиков по всему миру.

Эти расширения кажутся полностью законными, но при этом незаметно похищают очень конфиденциальные данные, такие как пароли, учетные данные доступа к Wi-Fi, токены аутентификации, содержимое буфера обмена и даже живые снимки экрана, сделанные непосредственно с компьютеров разработчиков.

Скомпрометированные расширения кода VS: «Bitcoin Black» и «Codo AI»

Было подтверждено, что два расширения Visual Studio Code содержат встроенные вредоносные компоненты: Биткойн Черный тема и инструмент-помощник искусственного интеллекта под названием Код ИИ. Оба расширения выглядели на рынке вполне легитимно и выполняли свои рекламируемые функции, что помогло им избежать подозрений и добиться широкого распространения.

После установки расширения развертывали дополнительную вредоносную нагрузку, которая непрерывно собирала данные с зараженных устройств. Злоумышленники не ограничились одним только сбором паролей. Вредоносное ПО в реальном времени делало снимки экранов разработчиков, демонстрируя исходный код, обсуждения Slack, учетные данные, внутреннюю документацию и конфиденциальные каталоги проектов.

Такой уровень прозрачности позволяет злоумышленникам отображать все рабочие процессы, понимать конфиденциальные архитектуры и точно нацеливаться на организации.

Техника атаки: перехват DLL как средство доставки

Операция основывалась на передовом методе, известном как Взлом DLLкоторый нарушает способ загрузки системных библиотек законным программным обеспечением.

Злоумышленники загрузили на компьютер жертвы настоящий, безопасный инструмент для создания снимков экрана (Lightshot), соединив его с вредоносной DLL, которая имела то же имя файла, что и ожидаемая библиотека инструмента. При запуске Lightshot автоматически загружалась поддельная DLL злоумышленника. Это вызвало выполнение вредоносной программы, не вызвав подозрений.

Исследователи безопасности обнаружили, что вредоносное ПО собирало:

• Непрерывные снимки экрана и данные буфера обмена

• Пароли Wi-Fi и сохраненные учетные данные беспроводной сети

• Файлы cookie браузера, токены аутентификации и активные сеансы (через Chrome и Edge в автономном режиме)

• Информация об установленном программном обеспечении, запущенных процессах и инструментах разработки.

Koi Security сообщает, что злоумышленники повторяют и улучшают операцию, все чаще используя «чистые» и безобидные на вид скрипты, чтобы гармонировать с обычной деятельностью разработчиков.

Кампания выходит за рамки VS Code

Хотя первые результаты появились в VS Code, аналогичные вредоносные внедрения теперь появляются и в более широкой экосистеме с открытым исходным кодом:

• НПМ и вперед: Пакеты вредоносных программ, имитирующие названия популярных и проверенных библиотек.

• Ржавчина: Библиотека под названием вьюрок-ржавчина замаскировался под инструмент научных вычислений, но вместо этого загружал дополнительный вредоносный компонент под названием ша-ржавчина

Это отражает прямую атаку на цепочка поставок программного обеспечения— разработчики механизма доверия полагаются на импорт пакетов, расширений или зависимостей. Компрометируя инструменты, лежащие в основе разработки программного обеспечения, злоумышленники получают привилегированный доступ ко всей организации.

Почему эта угроза настолько опасна

Один разработчик, установивший одно безобидное на вид расширение, может неосознанно спровоцировать взлом всей компании:

• Кража ядра, проприетарного исходного кода

• Поглощение GitHub и других учетных записей облачной разработки

• Заражение конвейеров CI/CD и сред сборки

• Раскрытие конфиденциальных данных клиентов, учетных данных и внутренней архитектуры

Поскольку среды разработки являются привилегированными по своей конструкции — они содержат секреты, токены, ключи SSH и код — радиус взлома огромен.

Традиционного статического сканирования кода недостаточно для обнаружения таких атак. Сами расширения часто кажутся законными или содержат безвредный код наряду со скрытыми полезными данными. Что требуется, так это поведенческий мониторинг в режиме реального времениспособен отмечать аномальные действия, например попытку расширения темы получить доступ к сохраненным паролям.

Рекомендуемые меры безопасности для разработчиков и организаций

Чтобы снизить риск заражения, компании, занимающиеся кибербезопасностью, рекомендуют следующие защитные меры:

1. Включите многофакторную аутентификацию для всех учетных записей разработчиков.включая GitHub, GitLab, облачных провайдеров и инструменты CI/CD.

2. Проверка личности и репутации издателей расширений перед установкой.

3. Избегайте анонимных, плохо проверенных или неизвестных плагинов.— даже если они кажутся безобидными.

4. Используйте инструменты безопасности, включающие поведенческое обнаружение.а не только статическое сканирование.

5. Относитесь с осторожностью ко всем инструментам разработки на основе искусственного интеллекта.особенно те, которые запрашивают повышенные системные разрешения.

6. Руководить регулярные аудиты сред разработкивключая сеансы браузера, секреты, сохраненные токены и установленные расширения.

Эта атака знаменует собой поворотный момент в киберпреступности, ориентированной на разработчиков.

Нацеливаясь на те самые инструменты, на которые ежедневно полагаются разработчики, злоумышленники получают беспрецедентный доступ к глобальной экосистеме программного обеспечения. Результаты подчеркивают острую необходимость усиления безопасности цепочки поставок, строгой проверки расширений и поведенческого мониторинга для защиты наиболее чувствительных в мире рабочих процессов разработки.