Los investigadores de ciberseguridad han descubierto una evasiva en el mercado de código de estudio de Visual Studio que permite a los actores de amenaza reutilizar nombres de extensiones previamente eliminadas.
El equipo de seguridad de la cautiverio de suministro de software, ReversingLabs, dijo que hizo el descubrimiento luego de identificar una extensión maliciosa emplazamiento “Ahbanc.shiba” que funcionó de guisa similar a otras dos extensiones: Ahban.shiba y Ahban.Cychelloworld, que fueron marcadas a principios de marzo.
Las tres bibliotecas están diseñadas para realizar como descargador para recuperar una carga útil de PowerShell de un servidor forastero que guarismo los archivos en una carpeta emplazamiento “TestShiba” en el escritorio de Windows de la víctima y exige un token Shiba inu depositando los activos a una billetera no especificada. Estos esfuerzos sugieren intentos de crecimiento continuos por parte del actor de amenazas.
La compañía dijo que decidió profundizar oportuno al hecho de que el nombre de la nueva extensión (“Ahbanc.shiba”) era prácticamente el mismo que uno de los otros dos identificados previamente (“Ahban.shiba”).
Vale la pena señalar que cada extensión tiene que tener una identificación única que sea una combinación del nombre del editor y el nombre de la extensión (es opinar,
Sin retención, según la documentación del código de Visual Studio, el
“Entonces, ¿cómo terminaron las extensiones ahban.shiba y ahbanc.shiba teniendo el mismo nombre a pesar de las reglas de publicación de la documentación oficial?”, Preguntó la investigadora de seguridad Lucija Valentić, quien finalmente descubrió que es posible hacerlo una vez que la extensión se elimina del repositorio. Pero este comportamiento no se aplica a los escenarios en los que un autor no publica una extensión.
Vale la pena señalar que la capacidad de reutilizar el nombre de las bibliotecas eliminadas asimismo se aplica al repositorio del índice de paquetes de Python (PYPI), como lo demuestra ReversingLabs a principios de 2023.
En ese momento, se descubrió que eliminar un paquete haría que su nombre del plan “esté habitable para cualquier otro becario de PYPI” siempre que los nombres de archivos de distribución (una combinación del nombre del plan, el número de traducción y el tipo de distribución) sean diferentes de los utilizados en la distribución ahora recuperada.
Sin retención, Pypi esconde una excepción donde los nombres de los paquetes PYPI pueden no estar disponibles si fueron utilizados por primera vez por paquetes maliciosos. Parece que Visual Studio Code no tiene una restricción similar para evitar la reutilización de nombres de extensiones maliciosas.
El crecimiento, como se observó en registros de chat Black Hilván filtrados, muestra cómo los actores de amenaza buscan envenenar registros de código hendido con bibliotecas de ransomware que exigen rescates de víctimas desprevenidas que puedan instalarlos. Esto hace que sea aún más crucial para las organizaciones y desarrolladores adoptar prácticas seguras de crecimiento y monitorear de guisa proactiva estos ecosistemas para las amenazas de la cautiverio de suministro de software.
“El descubrimiento de esta carencia expone una nueva amenaza: que el nombre de cualquier extensión eliminada puede ser reutilizada y por cualquiera”, dijo Valentić. “Eso significa que si se elimina alguna extensión legítima y muy popular, su nombre está en pernio”.
Los hallazgos asimismo siguen la identificación de ocho paquetes de NPM maliciosos que se han opuesto para entregar un robo de información de Google Chrome Browser que se dirige a sistemas de Windows que es capaz de transmitir contraseñas, tarjetas de crédito, datos de billetera de criptomonedas y cookies de usuarios a un ferrocarril (.) APP URL o un webhook de discordia como un mecanismo de caída.
Los paquetes, publicados por usuarios llamados RUER y NPJUN, se enumeran a continuación –
- ToolkDVV (versiones 1.1.0, 1.0.0)
- react-sxt (traducción 2.4.1)
- React-Typex (traducción 0.1.0)
- React-typexs (traducción 0.1.0)
- React-SDK-Solana (traducción 2.4.1)
- React-Native-Control (traducción 2.4.1)
- revshare-sdk-api (traducción 2.4.1)
- revshare-sdk-apii (traducción 2.4.1)
Lo sobresaliente de estos paquetes es el uso de 70 capas de código ofuscado para desempacar una carga útil de Python que está diseñada para proveer el robo de datos y la exfiltración.
“Los repositorios de software de código hendido se han convertido en uno de los principales puntos de entrada para los atacantes como parte de los ataques de la cautiverio de suministro, con ondas en crecimiento utilizando un tipo de escritura y disfrazamiento, fingiendo ser legal”, dijo el investigador de seguridad de JFrog, Guy Korolevski.
“El impacto de las sofisticadas campañas de múltiples capas diseñadas para eludir la seguridad tradicional y robar datos confidenciales resalta la importancia de tener visibilidad en toda la cautiverio de suministro de software con un escaneo riguroso automatizado y una sola fuente de verdad para todos los componentes de software”.
