Nova Ameaça: Extensão Maliciosa no Open VSX Imita Ferramenta Legítima
Uma nova preocupação surgiu no mundo da segurança cibernética: uma extensão maliciosa disponível no repositório Open VSX se disfarça como uma ferramenta legítima de produtividade e está equipada com um dropper que espalha malware em editores de código.
Pesquisadores da Aikido Security descobriram que essa extensão, chamada “specstudio.code-wakatime-acrivity-tracker”, funciona de forma inusitada. O malware utiliza um binário compilado em Zig, instalando silenciosamente a extensão nos ambientes de desenvolvimento das vítimas. Embora a extensão já tenha sido removida, os efeitos podem ser devastadores.
Como Opera a Nova Variante do GlassWorm
O pesquisador Ilyas Makari revelou que, ao ser instalada, a extensão carrega arquivos nativos do Node.js, como “win.node” para Windows e “mac.node” para macOS. Esses arquivos são bibliotecas que executam código fora do ambiente restrito do JavaScript, permitindo acesso total e irrestrito ao sistema.
Esse método é particularmente perigoso, pois o binário pode interagir com arquivos, abrir conexões de rede e executar processos sem a sanção do editor, facilitando assim a disseminação do malware.
Uma Nova Geração do GlassWorm
De acordo com Makari, essa é a sexta onda do GlassWorm, que não apenas utiliza código nativo em suas extensões, mas também serve como meio para entregar um dropper conhecido, amplificando a complexidade do ataque. Após a instalação, o binário procura IDEs como o Microsoft VS Code, onde baixa e instala uma extensão maliciosa denominada “floktokbok.autoimport”, que se disfarça como uma ferramenta legítima com milhões de instalações.
Evasão e Estratégias Maliciosas Avançadas
Uma característica notável é o comportamento da extensão maliciosa de parar suas operações se identificar que está em um sistema russo, uma tática adotada por grupos cibercriminosos do Leste Europeu para evitar repercussões legais.
Para encontrar seu servidor de comando e controle, a extensão utiliza a blockchain Solana, o que complica a tarefa de derrubar a infraestrutura do atacante. Após estabelecer comunicação com o servidor, ela coleta dados confidenciais, instala um trojan de acesso remoto (RAT) e implanta uma extensão maliciosa no Google Chrome.
Desenvolvedores que interagiram com estas extensões devem considerar sua máquina comprometida. Recomenda-se que todos os credenciais e informações sensíveis sejam imediatamente rotacionadas e monitoradas.
Fique atualizado sobre as mais recentes notícias de segurança e tecnologia em TecMania, e não esqueça de nos seguir em nossas redes sociais!