骇客盯上微软Visual Studio Code(VSCode)用户的情况,近期有越来越频繁的现象,最近资安业者Koi Security揭露的攻击行动引起关注,因为骇客上传的恶意延伸套件,短短不到4天之内,总共就被下载超过100万次。
但真的有这么多人上当受骗吗?研究人员认为,这些下载次数很有可能是人工灌水产生,目的是制造套件受到大量采用的假象,来降低开发人员的戒心。
【攻击与威胁】
骇客上传NPM、PyPI恶意套件攻击开发人员的情况日益频繁,但也有针对使用微软Visual Studio Code(VSCode)的开发者而来的情况,最近有资安业者发现,攻击者在市集提供恶意扩充套件,企图利用受害电脑挖矿。
供应链资安业者Koi Security指出,他们透过威胁情报平台ExtensionTotal找到10个恶意VSCode扩充套件,这些套件总共已被下载超过100万次,一旦开发人员不慎安装,电脑就有可能被植入挖矿程式XMRig,为骇客挖取门罗币(Monero)。
研究人员指出,这些套件在4月4日于微软的VSCode市集上架,其中最多人下载的是Prettier — Code for VSCode、Discord Rich Presence for VS Code、Rojo — Roblox Studio Sync,分别有95.5万、18.9万、11.7万次下载。针对这些套件在不到一周就出现大量下载的情况,Koi Security认为并不寻常,很有可能是攻击者人工产生的数字,目的是制造扩充套件广泛受到信任及采用的假象,以减少开发人员的怀疑。
北韩骇客针对开发人员而来的恶意套件攻击行动不断传出,但如今骇客采取更为隐密的手法,使得开发人员更容易上当。
资安业者Socket指出,他们看到北韩骇客Lazarus新一波的Contagious Interview攻击行动,骇客意图透过11个恶意NPM套件,散布具备远端存取木马(RAT)功能的恶意程式BeaverTail,这些套件伪装成阵列处理、事件记录、除错、事件处理,以及API处理的工具,意图针对开发人员下手,窃取敏感的帐密资料及金融资产。
Socket研究人员向NPM通报此事,恶意套件全数遭到下架,在此之前这些套件总共被下载超过5,600次。值得留意的是,这些骇客的攻击步调并未趋缓,他们持续建置新的NPM帐号,并在NPM、GitHub、Bitbucket部署恶意程式码。
骇客锁定企业的SSL VPN系统下手,企图借此取得初期入侵的管道,这样的现象不时传出,如今有研究人员发现针对特定厂牌系统的大规模攻击活动,呼吁用户要采取相关措施因应。
3月底威胁情报业者GreyNoise提出警告,他们观察到针对Palo Alto Networks的GlobalProtect入口网站新一波的扫描登入活动,最近1个月有近2.4万(23,958)个来源IP位址尝试存取这些SSL VPN系统。针对这样的情况,Palo Alto Networks表示他们已掌握GreyNoise部落格揭露的内容,将积极监控相关情势、确认可能会造成的影响,并评估是否需要采取缓解措施。
这波攻击从3月17日出现,持续至26日,大部分的攻击来自美国及加拿大,分别有16,249及5,823个IP位址,但也有来自芬兰、荷兰、俄罗斯的攻击。
◆4月7日Google发布本月安卓例行更新,总共修补62个资安漏洞,值得留意的是,他们提及有两个漏洞CVE-2024-53150、CVE-2024-53197,出现局部、针对特定目标进行滥用的迹象。
上述两项漏洞最早是去年12月揭露,存在于Linux核心,CVSS风险评分都达到7.8分,属高风险层级漏洞。
其中,权限提升漏洞CVE-2024-53197特别引起注意,因为这正是传出去年12月被塞尔维亚警方滥用的其中一项漏洞,揭露此事的国际特赦组织(Amnesty International)指出,当时塞尔维亚警方利用数位鉴识业者Cellebrite的工具,触发3项零时差漏洞,企图解锁社运人士的手机。附带一提的是,另外两项被串连的资安漏洞CVE-2024-53104、CVE-2024-50302,Google先后于2月、3月完成修补。