Investigadores descubren una falla en VS Code que permite a los atacantes republicar extensiones eliminadas con los mismos nombres
Investigadores de ciberseguridad han descubierto una vulnerabilidad en Visual Studio Code Marketplace que permite a los actores de amenazas reutilizar nombres de extensiones previamente eliminadas.
ReversingLabs, empresa de seguridad de la cadena de suministro de software, afirmó que realizó el descubrimiento después de identificar una extensión maliciosa llamada “ahbanC.shiba” que funcionaba de manera similar a otras dos extensiones, ahban.shiba y ahban.cychelloworld, que fueron detectadas a principios de marzo.
Las tres bibliotecas están diseñadas para funcionar como un descargador y recuperar una carga útil de PowerShell de un servidor externo que cifra los archivos en una carpeta llamada “testShiba” en el escritorio de Windows de la víctima y solicita un token Shiba Inu depositando los activos en una billetera no especificada. Estos esfuerzos sugieren que el actor de amenazas está desarrollando constantemente.
La compañía dijo que decidió investigar más a fondo debido a que el nombre de la nueva extensión (“ahbanC.shiba”) era prácticamente el mismo que uno de los otros dos identificados previamente (“ahban.shiba”).
Cabe destacar que cada extensión debe tener un ID único que combina el nombre del editor y el nombre de la extensión (es decir, .). En el caso investigado por ReversingLabs, ambas extensiones se diferencian únicamente por el nombre del editor, mientras que el nombre real de la extensión permanece igual.
