Tiện ích mở rộng độc hại trên VSCode Marketplace che giấu mã độc trong một tệp PNG giả mạo

Một chiến dịch tấn công với 19 tiện ích mở rộng trên VSCode Marketplace đã hoạt động từ tháng 02/2025, nhắm mục tiêu vào các nhà phát triển bằng phần mềm độc hại được ngụy trang bên trong các thư mục phụ thuộc.

Hoạt động độc hại này mới được phát hiện gần đây, các nhà nghiên cứu đã phát hiện kẻ điều hành sử dụng một tệp tin độc hại giả mạo hình ảnh PNG. Do tính phổ biến và tiềm năng gây ra các cuộc tấn công chuỗi cung ứng quy mô lớn, nền tảng này liên tục trở thành mục tiêu của các tác nhân đe dọa với các chiến dịch ngày càng tinh vi.

ReversingLabs - công ty bảo mật chuỗi cung ứng, đã phát hiện các tiện ích mở rộng độc hại được đóng gói sẵn với thư mục “node_modules” để ngăn VSCode tải các gói phụ thuộc từ kho lưu trữ npm khi cài đặt chúng.

Bên trong thư mục này, kẻ tấn công thêm một phần phụ thuộc đã được sửa đổi là “path-is-absolute” hoặc “@actions/io”, với một lớp bổ sung trong tệp “index.js” được thực thi tự động khi khởi động IDE VSCode.

Mã độc được thêm vào tệp index.js

Cần lưu ý rằng, “path-is-absolute” là một gói npm phổ biến với 9 tỷ lượt tải xuống kể từ năm 2021. Theo các nhà nghiên cứu, một tệp khác có trong thư mục dependencies là tệp lưu trữ giả dạng PNG (banner.png) chứa hai tệp nhị phân độc hại, bao gồm một tệp nhị phân tồn tại thông qua tiến trình cmstp[.]exe và một trojan dựa trên Rust.

ReversingLabs vẫn đang phân tích trojan này để xác định đầy đủ khả năng của nó. Các nhà nghiên cứu cho rằng, 19 tiện ích mở rộng VSCode trong chiến dịch này sử dụng các biến thể của những tên gọi sau, tất cả đều được phát hành với số phiên bản 1.0.0: Malkolm Theme, PandaExpress Theme, Prada 555 Theme, Priskinski Theme.

ReversingLabs đã báo cáo chúng cho Microsoft và tất cả các gói này hiện đều bị gỡ bỏ. Tuy nhiên, người dùng đã cài đặt các tiện ích mở rộng này nên rà quét hệ thống của mình để tìm dấu hiệu bị xâm nhập.

Do các tác nhân đe dọa luôn tìm ra những cách thức và phương pháp mới để né tránh sự phát hiện trên các kho lưu trữ công cộng được sử dụng để phát triển phần mềm, người dùng nên kiểm tra kỹ các gói phần mềm trước khi cài đặt, đặc biệt là khi nguồn phát hành không đáng tin cậy.

Đồng thời, nên xem xét kỹ lưỡng các thành phần phụ thuộc, đặc biệt là khi chúng được đóng gói sẵn trong gói phần mềm, như trường hợp của các tiện ích mở rộng VS Code, chứ không phải được tải xuống từ một nguồn đáng tin cậy, như trường hợp của npm.