CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

O extensie malițioasă a VS Code imită aplicația Zoom pentru a colecta cookie-uri din Chrome

22 ianuarie 2025

Sursă: https://cybersecuritynews.com

A fost descoperită o extensie malițioasă, mascată drept o aplicație Zoom, care colectează cookie-uri din Google Chrome, stârnind îngrijorări cu privire la securitatea ecosistemului de extensii VS Code.

Extensia malițioasă, încărcată în VS Code Marketplace la 30 noiembrie 2024 și actualizată ultima dată la 8 decembrie, se dă drept instrumentul Zoom Workspace.

Pentru a-și spori credibilitatea, autorul încărcării a inclus un link către repository-ul GitHub legitim pentru Zoom Meeting SDK.

Funcționalitatea de bază a extensiei malițioase este conținută în două fișiere principale:-

  • ./dist/extension.js: Responsabil pentru activarea și dezactivarea extensiei.
  • ./src/extension-web.js: Conține logica principală a extensiei.

Cercetătorii de la Hunt.io au identificat faptul că extensia este activată utilizând evenimentul „onStartupFinished” din fișierul package.json, asigurându-se că orice cod malițios rulează odată ce VS Code a fost încărcat complet.

Componente cheie:

  • Extensia utilizează diverse module Node.js, inclusiv sqlite3 pentru interacțiunile cu baza de date și path și os pentru operațiuni specifice sistemului.
  • Este declarat un endpoint suspect: „https://api.storagehb.cn/d?v=1.3”, care direcționează către un server găzduit în China.
  • Codul încearcă să acceseze stocarea cookie-urilor Chrome și datele din registrul Windows referitoare la conturile de securitate.

O interogare SQL este utilizată pentru a extrage diverse atribute ale modulelor cookie Chrome, inclusiv valori criptate, date de expirare și indicatori de securitate.

Extensia a fost lansată inițial ca versiuni 0.2.0 și 0.2.1 pe 30 noiembrie, codul care vizează cookie-urile Google Chrome fiind introdus în versiunea 0.2.2 pe 8 decembrie. Acest lucru sugerează o strategie deliberată de a ocoli mecanismele de detectare timpurie.

Dezvoltatorii sunt sfătuiți să:

  • Să examineze cu atenție extensiile înainte de instalare, inclusiv audituri de cod și verificări ale reputației.
  • Să implementeze controale stricte de acces, limitând permisiunile extensiilor doar la ceea ce este necesar.
  • Să rămână informați cu privire la potențialele amenințări la adresa securității în mediile de dezvoltare.

Sursă: https://cybersecuritynews.com/malicious-vs-code-mimic-as-zoom-app/

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |