Специалисты компании ReversingLabs выявили серьезную угрозу безопасности в популярном маркетплейсе расширений Visual Studio Code. Два вредоносных расширения — ahban.shiba и ahban.cychelloworld — содержали скрытое вымогательское программное обеспечение, которое оставалось незамеченным на протяжении нескольких месяцев.
Механизм работы вредоносных расширений
Эксперты обнаружили, что оба расширения использовали PowerShell-команды для загрузки и выполнения вредоносных скриптов с удаленного сервера Amazon AWS. Примечательно, что вымогательское ПО находилось в стадии тестирования, так как его функционал был ограничен шифрованием файлов только в определенной директории: C:\users\%username%\Desktop\testShiba.
Хронология появления угрозы
Расширение ahban.cychelloworld появилось в маркетплейсе 27 октября 2024 года, а ahban.shiba было загружено 17 февраля 2025 года. Согласно данным исследователя ExtensionTotal Итали Крук, изначально ahban.cychelloworld не содержало вредоносного кода. Малварь была внедрена с обновлением версии 0.0.2 от 24 ноября 2024 года, после чего последовало еще пять обновлений с вредоносным содержимым.
Особенности вымогательского ПО
После завершения процесса шифрования, вредоносная программа выводила сообщение с требованием выкупа: «Ваши файлы зашифрованы. Чтобы восстановить их, заплатите 1 ShibaCoin на ShibaWallet». В отличие от традиционных вымогателей, данное ПО не предоставляло дополнительных инструкций или развернутых требований, что подтверждает его экспериментальный характер.
Проблемы в системе безопасности
Несмотря на то, что автоматическое сканирование выявило угрозу практически сразу после появления вредоносного кода, Microsoft не предприняла оперативных мер по устранению проблемы. Эксперты отмечают, что низкое количество установок расширений (7-8 загрузок) могло стать причиной недостаточного внимания к угрозе со стороны компании.
Данный инцидент выявил существенные недостатки в процессе проверки безопасности расширений Microsoft VSCode Marketplace. Для предотвращения подобных ситуаций в будущем рекомендуется усилить механизмы верификации обновлений расширений и ускорить реагирование на сообщения о потенциальных угрозах, независимо от количества установок подозрительного программного обеспечения.
