Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Компрометация VSCode: расширение prettiervscodeplus, загрузчик Anivia и OctoRAT

4 мин
В репозитории VSCode Marketplace обнаружено вредоносное расширение для Visual Studio Code под названием «prettiervscodeplus». Оно маскировалось под легитимный форматировщик Prettier и служило входной точкой для многоэтапной атаки, где в качестве загрузчика использовался Anivia, а в качестве финальной полезной нагрузки — OctoRAT. Расширение было доступно очень короткое время и суммарно скачано лишь шесть раз, но сам инцидент демонстрирует опасность компрометации цепочек поставок в среде разработки. Атака начиналась с установки вредоносного расширения в среде разработчика. Первым этапом был загрузчик на основе VBScript, выполнявший операции через COM-объекты Windows и создававший временный файл PowerShell. Далее работал загрузчик Anivia, реализованный с помощью C#, который хранил полезную нагрузку в виде жестко закодированного массива зашифрованных байтов и расшифровывал её в памяти с использованием алгоритма AES-256 в режиме CBC. Для маскировки и сохранения устойчивости злоумышленники п
Оглавление

В репозитории VSCode Marketplace обнаружено вредоносное расширение для Visual Studio Code под названием «prettiervscodeplus». Оно маскировалось под легитимный форматировщик Prettier и служило входной точкой для многоэтапной атаки, где в качестве загрузчика использовался Anivia, а в качестве финальной полезной нагрузки — OctoRAT. Расширение было доступно очень короткое время и суммарно скачано лишь шесть раз, но сам инцидент демонстрирует опасность компрометации цепочек поставок в среде разработки.

Ключевые факты

  • Зловредное расширение: «prettiervscodeplus».
  • Платформа распространения: VSCode Marketplace.
  • Загрузчик: Anivia (анализ кода на C#).
  • Финальная полезная нагрузка: OctoRAT.
  • Количество загрузок: 6 (короткий период присутствия в маркете).
  • Класс атаки: компрометация цепочки поставок инструментов разработчика.

Ход атаки — от расширения до RAT

Атака начиналась с установки вредоносного расширения в среде разработчика. Первым этапом был загрузчик на основе VBScript, выполнявший операции через COM-объекты Windows и создававший временный файл PowerShell. Далее работал загрузчик Anivia, реализованный с помощью C#, который хранил полезную нагрузку в виде жестко закодированного массива зашифрованных байтов и расшифровывал её в памяти с использованием алгоритма AES-256 в режиме CBC.

Для маскировки и сохранения устойчивости злоумышленники применяли технику внедрения в пустой процесс (process hollowing): загрузчик внедрял расшифрованную полезную нагрузку в процесс компилятора Visual Basic, после чего запускалась третья ступень — OctoRAT.

Этот инцидент является ярким примером того, как злоумышленники используют доверие разработчиков к популярным инструментам для достижения целей в рамках компрометации цепочки поставок.

Технический разбор загрузчика Anivia

  • Хранение полезной нагрузки: жестко закодированный массив зашифрованных байтов.
  • Дешифрование: AES-256, режим CBC, расшифровка в памяти.
  • Техника выполнения: внедрение в пустой процесс с последующим выполнением в контексте процесса компилятора Visual Basic.

Возможности и цели OctoRAT

OctoRAT является многофункциональным инструментом удаленного управления и сбора данных. Среди ключевых возможностей, отмеченных в исследовании:

  • удалённый доступ к рабочему столу;
  • сбор учётных записей браузера;
  • сбор конфиденциальных данных: учетные данные Wi‑Fi, информация о криптовалютных кошельках;
  • выполнение произвольных скриптов по командам оператора;
  • создание обратного прокси и превращение заражённых машин в инфраструктуру атаки;
  • закрепление через запланированные задачи для поддержания персистентности.

Методы уклонения и эскалации привилегий

Вредоносное ПО пытается выполнить UAC bypass с использованием механизма FodHelper, что позволяет работать с повышенными привилегиями без явного согласия пользователя. Такие приёмы повышают риск масштабирования атаки и осложняют её обнаружение и удаление.

Обнаружение и индикаторы компрометации

Суммарно для обнаружения активности, связанной с этим инцидентом, целесообразно отслеживать следующие признаки:

  • установки или попытки установки расширения «prettiervscodeplus» из VSCode Marketplace;
  • запуск VBScript с операциями через COM-объекты и создание временных PowerShell-скриптов;
  • странная активность процесса компилятора Visual Basic, особенно если наблюдаются необычные сетевые соединения;
  • попытки доступа к известным серверам управления (C2) и нетипичная исходящая сетьвая активность;
  • создание или модификация запланированных задач, установка обратных прокси и появление инструментов удалённого доступа.

Рекомендации по защите

Исходя из анализа, экспертные рекомендации для команд разработчиков и ИБ‑служб включают:

  • немедленно удалить расширение «prettiervscodeplus» и проверить устройства, где оно было установлено;
  • контролировать и ограничивать установку расширений в корпоративных средах; использовать централизованные политики управления расширениями;
  • мониторить процессы сборки и компиляции (включая процессы Visual Basic) на предмет аномальной сетевой активности;
  • отслеживать и блокировать связи с известными доменами/серверными адресами C2;
  • обновить системы и патчить уязвимости, которые могут позволять UAC bypass (включая механизмы, похожие на FodHelper).

Вывод

Даже короткое присутствие злоумышленника в официальном репозитории расширений может привести к потенциально серьёзным последствиям. Атака с использованием Anivia и OctoRAT подчёркивает: инструменты разработчика и их экосистемы — привлекательная цель для атак на цепочки поставок. Это событие служит напоминанием о необходимости строгих мер контроля, мониторинга и реагирования в средах разработки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Компрометация VSCode: расширение prettiervscodeplus, загрузчик Anivia и OctoRAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.