Месяцы в тени: в магазине VSCode обнаружены тестовые программы-вымогатели

В онлайн-магазине расширений VSCode Marketplace обнаружены две вредоносные программы, маскировавшиеся под легитимные дополнения. Расширения распространяли тестовую версию программы-вымогателя и оставались незамеченными несколько месяцев.

Расширения «ahban.shiba» и «ahban.cychelloworld» успели скачать соответственно 7 и 8 раз. Первое было опубликовано 17 февраля 2025 года, второе появилось в магазине ещё 27 октября 2024 года. Примечательно, что при добавлении на платформу дополнения сумели полностью обойти процедуры проверки безопасности.

Исследование ReversingLabs показало, что оба расширения содержали команду PowerShell, которая загружала и запускала скрипт-вымогатель с удалённого сервера Amazon AWS. Зашифровывались лишь файлы в отдельной тестовой папке на рабочем столе пользователя, после чего на экране появлялось предупреждение с требованием оплаты в криптовалюте ShibaCoin. При этом злоумышленники не предусмотрели никаких подробных инструкций или записок с требованиями, характерных для полноценных атак программ-вымогателей.

Вредоносный скрипт PowerShell (@ReversingLabs)

Несмотря на очевидную тестовую природу вредоносного кода, ситуация привела к критике в адрес Microsoft за низкий уровень контроля и безопасности при проверке расширений перед публикацией. В результате расследования Microsoft оперативно удалила оба дополнения, однако выяснилось, что дополнения могли быть удалены гораздо раньше, если бы компания оперативнее реагировала на уведомления от исследователей безопасности.

В компании ExtensionTotal отметили, что 25 ноября 2024 года автоматический сканер предупредил Microsoft о подозрительной активности расширения «ahban.cychelloworld». В первоначальной версии расширения вредоносного кода не было, но во второй версии, загруженной 24 ноября, уже присутствовал зловред. Несмотря на предупреждение, Microsoft проигнорировала сообщение, и впоследствии было принято ещё 5 версий того же расширения, содержащих тот же самый вредоносный код.

Специалисты объясняют отсутствие реакции Microsoft малым количеством загрузок расширений, из-за чего проверка не была приоритетной для компании. Однако подобная ситуация вызывает беспокойство: расширения долгое время могли скачивать и выполнять вредоносные сценарии с удалённого ресурса, не вызывая подозрений у систем безопасности.