Negli ultimi giorni i ricercatori di sicurezza informatica hanno individuato nuove estensioni malevole nel marketplace di Visual Studio Code che colpiscono gli sviluppatori rubando dati sensibili. Queste estensioni, presentate come un tema dark premium e un assistente di programmazione basato su intelligenza artificiale, nascondono in realtà funzionalità dannose capaci di scaricare ulteriori payload, catturare screenshot e sottrarre informazioni dal computer della vittima. Tutti i dati raccolti vengono inviati a server controllati dagli attaccanti.

Le estensioni coinvolte e le loro modalità operative

Le estensioni coinvolte, denominate BigBlack.bitcoin-black e BigBlack.codo-ai, sono state già rimosse da Microsoft, ma per alcuni giorni sono riuscite a infettare le macchine di diversi sviluppatori. Un’ulteriore estensione, BigBlack.mrbigblacktheme, è stata rapidamente eliminata prima che potesse causare danni. In particolare, BigBlack.bitcoin-black si attivava a ogni azione su VS Code, mentre Codo AI integrava il codice dannoso all’interno di una funzione realmente funzionante, riuscendo così a eludere le rilevazioni di sicurezza.

Tecniche di infezione e raccolta dati

Le prime versioni delle estensioni contenevano la capacità di eseguire uno script PowerShell che scaricava un archivio ZIP protetto da password da un server remoto, estraendo poi il payload principale tramite diverse tecniche. In seguito, gli sviluppatori malevoli hanno raffinato il processo passando a uno script batch che utilizza il comando curl per scaricare un file eseguibile e una DLL. Il file eseguibile è la versione legittima di Lightshot, sfruttata per caricare una DLL dannosa tramite tecniche di hijacking. Questa DLL raccoglie dati come contenuto degli appunti, elenco dei programmi installati, processi attivi, screenshot, credenziali WiFi e dettagli di sistema, oltre a lanciare Chrome ed Edge in modalità headless per rubare i cookie e dirottare le sessioni browser.

Minacce parallele in altri ecosistemi

Parallelamente, sono stati scoperti pacchetti malevoli anche negli ecosistemi Go, npm e Rust. Alcuni package Go, tipizzati per assomigliare a librerie affidabili, inviavano dati sensibili a siti di paste pubblici quando venivano utilizzate specifiche funzioni. Sul registry npm sono stati rintracciati centinaia di pacchetti con nomi simili, pubblicati da un attore probabilmente francofono, progettati per aprire una reverse shell ed esfiltrare file. Nel mondo Rust, una libreria chiamata finch-rust caricava un payload per rubare credenziali tramite una dipendenza apparentemente innocua.

Rischi per la supply chain del software

Questa ondata di minacce mostra come la supply chain del software sia sempre più nel mirino degli attaccanti, con tecniche sofisticate per camuffare il malware all’interno di strumenti utilizzati quotidianamente dagli sviluppatori. Occorre quindi la massima attenzione nell’installazione di plugin e dipendenze, anche da fonti ufficiali.