人気がありそうに見える拡張機能 angular-studio.ng-angular-extension が、開発者に高度なマルウェアを配布していたことが発覚しました。
しかし、その裏では、暗号資産ウォレットから資金を抜き取り、開発者の認証情報を盗み出す隠しペイロードを実行していました。
このファイルには、Node.js crypto を使用してAES-256-CBCで巨大な16進文字列を復号する、暗号化されたローダーが含まれています。
復号後、ローダーはペイロードを eval() で実行する前にタイミング遅延を挟みます。この手法により、悪意あるコードはVS Code API、Node.jsモジュール、そしてホストのファイルシステムへ完全にアクセスできるようになります。
このマルウェアは、C2(コマンド&コントロール)基盤を隠蔽するために「Etherhiding」として知られる手法を用いています。
ブロック可能な従来のドメインに問い合わせる代わりに、ペイロードはSolanaブロックチェーン上の特定のトランザクションを取得します。
この方法は、ブロックチェーンが不変で高可用であるため、「テイクダウン耐性」を提供します。攻撃者は、インストール済みの拡張機能を変更することなく、アドレスに新しいトランザクションを送信してC2 URLを更新できます。
一致が見つかった場合、実行は直ちに終了します。これは、特定の法域での訴追を避けるための一般的な手口です。
翻訳元: https://cyberpress.org/malicious-open-vsx-extension/
ソース: cyberpress.org