Sviluppatori nel mirino: malware nascosto nel marketplace di Visual Studio Code

Una campagna di malware sofisticata è stata individuata all’interno del marketplace di Visual Studio Code (VS Code). I ricercatori di ReversingLabs (RL) sono riusciti a identificare 19 estensioni malevole che sono state in grado di eludere con successo i metodi standard di rilevamento, occultando i loro payload all’interno delle cartelle delle dipendenze in modo profondo.

Attiva da febbraio 2025, utilizza una combinazione astuta di tecniche di “typosquatting-adjacent” e steganografia al fine di compromettere i computer degli sviluppatori.

“I file dannosi hanno abusato di un pacchetto npm legittimo per eludere il rilevamento e hanno creato un archivio contenente file binari dannosi che si spacciavano per un’immagine: un file con estensione PNG”, hanno riportato i ricercatori.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Per oscurare ulteriormente le loro tracce, gli aggressori hanno utilizzato un file ingannevole denominato banner.png. Sebbene sembrasse un file immagine standard per la presentazione dell’estensione sul marketplace, in realtà era un archivio modificato.

La catena di attacco inizia quando il file index.js della dipendenza compromessa viene eseguito all’avvio di VS Code. Attiva una classe nascosta che decodifica un dropper JavaScript da un file chiamato semplicemente lock. Questo dropper estrae quindi il payload dal file PNG falso.

Il modo in cui le estensioni di VS Code gestiscono i loro componenti fondamentali è ciò che rende questo attacco geniale. Le estensioni di VS Code, diversamente dai progetti npm tradizionali che scaricano le dipendenze in tempo reale, sono fornite con una cartella node_modules già pronta, contenente tutte le librerie richieste.

Questa struttura consente alle estensioni di funzionare “out of the box”, ma ha anche offerto agli aggressori un nascondiglio perfetto, riportano i ricercatori.

Per questa campagna, gli autori della minaccia hanno preso il popolarissimo pacchetto path-is-absolute, una libreria con oltre 9 miliardi di download, e lo hanno modificato localmente all’interno delle loro estensioni dannose. Non hanno toccato il pacchetto ufficiale nel registro npm; hanno invece manomesso la versione inclusa nella loro estensione.

“In questo modo, l’autore della minaccia sta trasformando un pacchetto popolare e altrimenti sicuro in una bomba a orologeria pronta a esplodere non appena viene utilizzata una delle estensioni dannose”, afferma il rapporto. “Il file banner.png, come si è scoperto, non era un file immagine. Si tratta invece di un archivio contenente due file binari dannosi”.

Una volta decompresso, il malware non si limita a essere eseguito: sfrutta il sistema contro se stesso. Il dropper decodificato esegue i file binari dannosi utilizzando cmstp.exe, uno strumento legittimo di installazione dei profili di Microsoft Connection Manager, spesso utilizzato dagli hacker come file binario “Living Off the Land” (LOLBIN) per aggirare i controlli di sicurezza .

Sebbene la maggior parte delle estensioni identificate abusasse del pacchetto path-is-absolute, i ricercatori hanno notato che quattro estensioni utilizzavano un vettore diverso, modificando il pacchetto @actions/io e nascondendo i payload nei file TypeScript (.ts) e sourcemap (.map) invece dell’immagine falsa.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.