Los investigadores de ciberseguridad han descubierto una escapatoria en el mercado del código de Visual Studio que permite a los actores de amenaza reutilizar nombres de extensiones previamente eliminadas.
El vestuario de seguridad de la cadena de suministro de software, las reversiones de la reversión, dijo que había descubierto después de identificar una extensión maliciosa llamada «Ahbanc.shiba», que funciona de manera similar a otras dos extensiones marcadas a principios de marzo de este año (ahban.shiba.cychhelloworld).
Las tres bibliotecas están diseñadas para actuar como dispositivos de descarga para obtener cargas útiles de PowerShell de servidores externos que encriptan los archivos en una carpeta llamada «TestShiba» en el escritorio de Windows de la víctima y solicite tokens Shiba inu depositando activos en una billetera indeterminada. Estos esfuerzos sugieren intentos de desarrollo continuo de actores de amenaza.
La compañía dijo que ha decidido profundizar debido al hecho de que el nombre de la nueva extensión («ahbanc.shiba») es aproximadamente el mismo que los otros dos previamente identificados («ahban.shiba»).
Tenga en cuenta que cada extensión debe tener una ID única que sea una combinación del nombre del editor y el nombre de la extensión (es decir). En los casos investigados por ReversingLabs, ambas extensiones se distinguen solo con el nombre del editor, pero el nombre real de la extensión sigue siendo el mismo.
Sin embargo, de acuerdo con la documentación del código de Visual Studio, los campos especificados en el manifiesto de extensión deben ser «minúsculas sin espacios» y «específico mutuo».
«Entonces, ¿cómo terminó la extensión teniendo a Ahban.shiba y Ahbanc.shiba con el mismo nombre?» preguntó la investigadora de seguridad Lucija Valentić. Sin embargo, este comportamiento no se aplica a los escenarios en los que el autor no publica la extensión.
Vale la pena señalar que la capacidad de reutilizar los nombres de las bibliotecas eliminadas también se aplica al repositorio del índice de paquetes de Python (PYPI), como lo demostró ReversingLabs a principios de 2023.
En ese momento, descubrí que eliminar un paquete haría que el nombre del proyecto «disponible para otros usuarios de PYPI» siempre que el nombre del proyecto (combinación de nombre del proyecto, número de versión y tipo de distribución) difiera de lo que se utiliza en la distribución actualmente eliminada.
Sin embargo, Pypi crea una excepción que no permite que el nombre del paquete PYPI se use si se usa primero en un paquete malicioso. Parece que Visual Studio Code no tiene restricciones similares para evitar la reutilización de nombres de extensión maliciosa.
El desarrollo observado en los registros de chat de Black Busta filtrados muestra cómo los actores de amenaza están considerando la adicción al registro de código abierto con bibliotecas de ransomware que requieren rescates de víctimas desprevenidas que puedan configurarlas. Esto hace que sea aún más importante para las organizaciones y desarrolladores adoptar prácticas seguras de desarrollo y monitorear activamente estos ecosistemas para las amenazas de la cadena de suministro de software.
«El descubrimiento de esta escapatoria revela una nueva amenaza. El nombre de la extensión eliminada es que cualquiera puede reutilizarla», dijo Valentic. «Entonces, si se elimina una extensión legítima y extremadamente popular, entonces puede obtener ese nombre».
Los hallazgos continúan identificando ocho paquetes de NPM maliciosos que se han encontrado que proporcionan información sobre el navegador de Google Chrome Steelers dirigidos a los sistemas de Windows que pueden enviar contraseñas, tarjetas de crédito, datos de billetera de criptomonedas y cookies de usuarios para discrepantes webhooks como ferrocarril (.) Aplicaciones o mecanismos de retroalimentación.
Los paquetes publicados por los usuarios llamados RUER y NPJUN se enumeran a continuación –
ToolkDVV (versión 1.1.0, 1.0.0) react-sxt (versión 2.4.1) react-typeEx (versión 0.1.0) react-typeExs (versión 0.1.0) react-sdk-solana (versión 2.4.1) react-native-control (versión 2.4.1) revshare-sdk-api (versión 2.4.1) revshare-sdk-api (versión 2.4.1) Revshare-SDK-API (2.4.1)
Lo que es notable sobre estos paquetes es que usan 70 capas de código de ofuscación para desempacar una carga útil de Python diseñada para promover el robo y la descarga de datos.
«El repositorio de software de código abierto se ha convertido en uno de los principales puntos de entrada para los atacantes como parte de los ataques de la cadena de suministro. El aumento de la ola pretende ser legítimo, utilizando el patinaje y la mascarada».
«El impacto de las sofisticadas campañas de múltiples capas diseñadas para eludir la seguridad tradicional y robar datos confidenciales subraya la importancia de tener visibilidad en la cadena de suministro de software con una escaneo automático estricto y una sola fuente de verdad para todos los componentes de software».
Source link
