Фальшивое расширение VSCode распространяло стиллер Anivia и крало данные

Недавний инцидент, связанный с торговой площадкой Visual Studio Code (VSCode), выявил серьёзную угрозу: вредоносное расширение, маскировавшееся под популярный форматтер Prettier, использовалось для доставки стиллера Anivia. Расширение под названием «prettier-vscode-plus» было ненадолго доступно на официальном маркетплейсе и целилось в разработчиков, чтобы похитить учётные данные и личные данные с их машин.

Что произошло

Атака характеризуется многоэтапным и обходным подходом, специально спроектированным для того, чтобы ускользнуть от стандартных мер защиты. Расширение, внешне похожее на легитимный инструмент, получало доверие у пользователей и затем запускало цепочку действий, приводящую к установке вредоносного ПО-стиллера.

Злоумышленники использовали «prettier-vscode-plus» для скрытой доставки Anivia и сбора конфиденциальных данных.

Как работает механизм атаки

• Маскировка под популярный пакет (Prettier) для повышения доверия и быстрой установки.
• Многоступенчатая загрузка и выполнение, затрудняющие обнаружение стандартными сканерами безопасности.
• Развёртывание стиллера Anivia, который извлекает:учётные данные для входа (логины и пароли);
  системные метаданные;
  личные данные, включая чаты WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta);
  
• Передача собранной информации злоумышленникам и последующее возможное использование для дальнейших атак или мошенничества.

Почему это опасно

Широкий объём собираемых данных подчёркивает серьёзность угрозы: компрометация затрагивает как профессиональные артефакты (доступ к репозиториям, сервисам, токенам), так и личную переписку и конфиденциальную информацию. Для разработчиков это особенно критично, поскольку одна скомпрометированная рабочая машина может привести к масштабным утечкам и цепным инцидентам в инфраструктуре.

Рекомендации по защите

• Устанавливать расширения только от доверенных издателей и проверенных репозиториев.
• Перед установкой проверять исходный код расширения (если доступен) и отзывы пользователей.
• Использовать принцип наименьших привилегий: не запускать редактор с правами администратора без необходимости.
• Хранить секреты в менеджерах секретов, а не в конфигурационных файлах или переменных окружения в открытом виде.
• Включить многофакторную аутентификацию (MFA) во всех сервисах и как можно скорее ротация ключей/паролей при подозрении на компромисс.
• Развёртывать EDR/IDS и контролировать исходящие соединения (egress) для обнаружения аномальной активности.
• Использовать изолированные среды разработки (контейнеры, виртуальные машины) для работы с непроверенными расширениями или сторонними проектами.
• Мониторить репозитории и CI/CD на предмет неожиданной активности и включить сканирование артефактов на наличие вредоносного кода.

Вывод

Инцидент с «prettier-vscode-plus» и Anivia — напоминание о постоянных рисках, связанных со сторонним ПО и расширениями в средах разработки. Повышенная бдительность, процессы верификации расширений и многоуровневая защита критичны для предотвращения подобных целенаправленных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фальшивое расширение VSCode распространяло стиллер Anivia и крало данные".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.