继NPM、PyPI组件库成为黑客偏好传播恶意软件的渠道后,有人也锁定微软开源IDE编辑器Visual Studio Code(VS Code)的扩展组件下手,于市场上架恶意组件传播勒索软件。
安全企业ReversingLabs发现两个恶意组件ahban.shiba、ahban.cychelloworld,并指出开发人员如果在自己的计算机部署这些组件,计算机就有可能被植入勒索软件。他们向VS Code市场通报此事,这些组件已经下架。
研究人员分析组件的内容,发现内置与PowerShell命令有关的程序代码,功能是从C2下载PowerShell脚本形态的有效酬载,并于受害计算机执行。
而这个有效酬载应该就是勒索软件,会在受害计算机的桌面名为testShiba的文件夹其中加密文件,完成后显示勒索消息,要求开发人员支付1个加密货币ShibaCoin赎金,换取恢复文件的密钥。不过,黑客并未提供加密货币钱包资讯,因此研究人员推测,很有可能还有其他带有这类资讯的新版有效酬载。
值得留意的是,这些恶意组件可能上架接近4个月之久,才被发现有问题。安全新闻网站Bleeping Computer指出,安全研究员Italy Kruk透露他们在去年11月底就侦测到ahban.cychelloworld有问题并通报,但因为组件下载次数相当少,微软并未优先进行处理。黑客后来又上传了5个版本,而且全部通过微软的审核流程。对比微软最近不慎下架近9百万人下载的组件,针对这两种误判,Bleeping Computer认为,微软可能必须调整相关机制来应对。
