В маркетплейсе VS Code нашли расширения с инфостилерами и шпионским ПО

Специалисты компании Koi Security нашли на маркетплейсе Microsoft для Visual Studio Code вредоносные расширения Bitcoin Black и Codo AI. Они маскировались  под тёмную тему оформления и помощника на основе искусственного интеллекта. Оба вредоноса были опубликованы под именем разработчика BigBlack. На момент публикации отчёта Codo AI всё ещё был доступен в магазине, хотя насчитывал меньше 30 загрузок. У Bitcoin Black счётчик показывал всего одну установку.

За последний год специалисты обнаружили десятки вредоносных расширений для VS Code. Большинство из них крадут учётные данные или занимаются майнингом криптовалют. Однако это вредоносное ПО пошло дальше: оно делает снимок экрана и отправляет его злоумышленнику. В поле зрения попадают код, электронные письма, личные сообщения в Slack и всё, что отображается на экране. Также зловред крадёт пароли от Wi-Fi, считывает содержимое буфера обмена и перехватывает сеансы в браузере.

По данным экспертов, Bitcoin Black использует событие активации, которое срабатывает при каждом действии в VS Code. Также плагин может запускать PowerShell-код. В старых версиях расширение использовало PowerShell-скрипт для скачивания запароленного архива с полезной нагрузкой. При этом всплывало окно PowerShell, которое могло насторожить пользователя. В более новых версиях вредоноса процесс переместился в bat-скрипт, который вызывает curl для загрузки DLL-файла и исполняемого файла exe. Всё это происходит в скрытом режиме.

Что касается Codo AI, расширение действительно может помогать пользователю с кодом, используя ChatGPT или DeepSeek, однако, помимо этого, содержит аналогичную вредоносную составляющую.

Вредоносная DLL в обоих расширениях подгружается посредством DLL Hijacking и разворачивает в системе жертвы инфостилер под именем runtime.exe. Её обнаруживают только 29 из 72 антивирусов на VirusTotal. На заражённом устройстве вредонос создаёт директорию в %APPDATA%\Local\ и папку Evelyn для хранения украденных данных. Среди них — информация о запущенных процессах, содержимое буфера обмена, учётные данные Wi-Fi, данные о системе, скриншоты, список установленных программ и активных процессов. Чтобы украсть cookie и перехватить пользовательские сессии, вредонос запускает Chrome и Edge в headless-режиме. Кроме того, скрывающийся в расширениях стилер ворует данные криптовалютных кошельков вроде Phantom, Metamask и Exodus, ищет пароли и другие учётные данные.

Представители Microsoft сообщили, что в настоящее время оба найденных вредоносных расширения уже удалены с маркетплейса VS Code.