Компанія ReversingLabs, що спеціалізується на кібербезпеці, виявила критичну загрозу в офіційному маркетплейсі розширень Visual Studio Code. Два розширення – ahban.shiba та ahban.cychelloworld – містили замасковане вимагацьке програмне забезпечення, яке залишалося непоміченим протягом кількох місяців, створюючи потенційну небезпеку для користувачів популярного редактора коду.
Технічний аналіз шкідливого коду
Детальне дослідження показало, що обидва розширення використовували складний механізм завантаження шкідливого коду через PowerShell-команди. Зловмисники застосували інфраструктуру Amazon AWS для хостингу шкідливих скриптів, що ускладнювало їх виявлення. Аналіз коду підтвердив, що вимагацьке ПЗ знаходилось на стадії тестування, оскільки його функціонал обмежувався шифруванням файлів виключно в директорії C:\users\%username%\Desktop\testShiba.
Еволюція загрози та механізм поширення
Перше розширення (ahban.cychelloworld) з’явилося в маркетплейсі 27 жовтня 2024 року. Спочатку воно не містило шкідливого коду, але малварь була впроваджена через оновлення версії 0.0.2 від 24 листопада 2024 року. Друге розширення (ahban.shiba) було опубліковано 17 лютого 2025 року і одразу містило шкідливий код. Дослідження показало серію з п’яти послідовних оновлень, кожне з яких містило вдосконалений варіант вимагацького ПЗ.
Особливості роботи вимагацького програмного забезпечення
Після активації вимагацьке ПЗ здійснювало шифрування файлів у визначеній директорії та виводило повідомлення: “Ваші файли зашифровано. Чтобы восстановить их, заплатите 1 ShibaCoin на ShibaWallet”. Примітно, що на відміну від типових вимагачів, це ПЗ не надавало детальних інструкцій щодо оплати викупу, що підтверджує його експериментальний характер.
Недоліки системи безпеки та рекомендації
Інцидент виявив суттєві прогалини в системі перевірки розширень Microsoft VSCode Marketplace. Незважаючи на раннє виявлення загрози автоматизованими системами сканування, відсутність оперативної реакції з боку Microsoft дозволила шкідливому коду залишатися доступним протягом тривалого часу. Експерти рекомендують впровадити більш жорсткі процедури верифікації оновлень розширень та прискорити реагування на повідомлення про потенційні загрози, незалежно від кількості встановлень.
Для забезпечення безпеки користувачів Visual Studio Code рекомендується регулярно перевіряти встановлені розширення, використовувати тільки перевірені джерела та своєчасно видаляти підозрілі компоненти. Розробникам платформи необхідно посилити механізми контролю якості та безпеки розширень, щоб запобігти подібним інцидентам у майбутньому.