Las extensiones maliciosas de VSCode en el registro de Microsoft eliminan a los ladrones de información
Dos extensiones maliciosas en Visual Studio Code Marketplace de Microsoft infectan las máquinas de los desarrolladores con malware que roba información y puede tomar capturas de pantalla, robar credenciales, billeteras de criptomonedas y secuestrar sesiones del navegador.
El mercado alberga extensiones para el popular entorno de desarrollo integrado (IDE) VSCode para ampliar la funcionalidad o agregar opciones de personalización.
Las dos extensiones maliciosas, llamadas Bitcoin Black y Codo AI, se hacen pasar por un tema de color y un asistente de IA, respectivamente, y fueron publicadas bajo el nombre de desarrollador ‘BigBlack’.
Al momento de escribir este artículo, Codo AI aún estaba presente en el mercado, aunque contaba con menos de 30 descargas. El contador de Bitcoin Black solo mostraba una instalación.
Según Koi Security, la extensión maliciosa Bitcoin Black incluye un evento de activación “*” que se ejecuta con cada acción de VSCode. También puede ejecutar código de PowerShell, algo que un tema no necesita y que debería ser una señal de alerta.
En versiones anteriores, Bitcoin Black usaba un script de PowerShell para descargar una carga archivada protegida con contraseña, lo que creaba una ventana de PowerShell visible y podría haber advertido al usuario.
Sin embargo, en versiones más recientes, el proceso cambió a un script por lotes (bat.sh) que llama a ‘curl’ para descargar un archivo DLL y un ejecutable, y la actividad ocurre con la ventana oculta.
Idan Dardikman de Koi Security dice que Codo AI tiene una funcionalidad de asistencia de código a través de ChatGPT o DeepSeek, pero también incluye una sección maliciosa.
Ambas extensiones entregan un ejecutable legítimo de la herramienta de captura de pantalla Lightshot y un archivo DLL malicioso que se carga a través de la técnica de secuestro de DLL para implementar el infostealer bajo el nombre runtime.exe .
La DLL maliciosa está marcada como una amenaza por 29 de los 72 motores antivirus de Virus Total, señala el investigador en un informe publicado hoy.
El malware crea un directorio en ‘%APPDATA%\Local\ ‘ y crea un directorio llamado Evelyn para almacenar datos robados: detalles sobre procesos en ejecución, contenido del portapapeles, credenciales de WiFi, información del sistema, capturas de pantalla, una lista de programas instalados y procesos en ejecución.
Para robar cookies y secuestrar sesiones de usuario, el malware inicia los navegadores Chrome y Edge en modo sin cabeza para poder robar cookies almacenadas y secuestrar sesiones de usuario.
El malware también roba monederos de criptomonedas como Phantom, Metamask y Exodus. Busca contraseñas y credenciales.
BleepingComputer se ha puesto en contacto con Microsoft para informarle sobre la presencia de las extensiones en el mercado, pero no ha habido comentarios disponibles de inmediato.
Se han enviado extensiones maliciosas de VS Code a plataformas que proporcionan extensiones con IDE de VS Code, como OpenVSX y Visual Studio Code, siendo una de las campañas más notables Glassworm .
Los desarrolladores pueden minimizar los riesgos de extensiones maliciosas de VSCode instalando proyectos únicamente de editores confiables.
Fuente: bleepingcomputer