Phần mềm độc hại nguy hiểm mới nhắm mục tiêu vào các thiết bị macOS thông qua tiện ích mở rộng OpenVSX - đây là cách để giữ an toàn.

(Nguồn ảnh: Shutterstock)

Theo các chuyên gia, GlassWorm, chiến dịch phần mềm độc hại nhắm vào các nhà phát triển VS Code trên chợ ứng dụng Visual Studio Code chính thức của Microsoft , hiện đã mở rộng sang các lựa chọn thay thế mã nguồn mở.

Mới đây, các nhà nghiên cứu bảo mật của Socket cho biết họ đã phát hiện ra bốn tiện ích mở rộng trong Open VSX, một chợ mở, không phụ thuộc vào nhà cung cấp dành cho các tiện ích mở rộng trình soạn thảo (chủ yếu được sử dụng bởi các nhà phát triển làm việc với các trình soạn thảo tương thích với VS Code).

Ban đầu, các tiện ích mở rộng này vô hại, nhưng đã bị xâm phạm và được sử dụng để phát tán phần mềm đánh cắp thông tin cho người dùng MacOS theo kiểu tấn công chuỗi cung ứng điển hình. Dưới đây là danh sách các tiện ích mở rộng bị xâm phạm:

oorzc.ssh-tools v0.5.1

oorzc.i18n-tools-plus v1.6.8

oorzc.mind-map v1.0.61

oorzc.scss-to-css-compile v1.3.4

Dọn dẹp sau vụ tấn công

Chúng đã được cập nhật để bao gồm phần mềm độc hại vào ngày 30 tháng 1, sau khi duy trì tính hợp pháp trong khoảng hai năm.

Phần mềm độc hại này tải một trình đánh cắp thông tin macOS để thu thập dữ liệu nhạy cảm từ các trình duyệt (Firefox và Chromium), tiện ích mở rộng và ứng dụng ví tiền điện tử, dữ liệu chuỗi khóa macOS, cơ sở dữ liệu Apple Notes, cookie Safari , bí mật của nhà phát triển và tài liệu từ hệ thống tệp cục bộ.

Sau đó, toàn bộ dữ liệu sẽ được chuyển đến máy chủ do kẻ tấn công sở hữu.

Tổng cộng, các tiện ích mở rộng đã được tải xuống 22.000 lần, các nhà nghiên cứu cho biết, cho thấy đây là một chiến dịch khá thành công. Hơn nữa, chiến dịch này chỉ nhắm mục tiêu vào các thiết bị macOS, đồng thời loại trừ các hệ thống sử dụng ngôn ngữ tiếng Nga, điều này có thể có nghĩa là những kẻ tấn công đến từ Nga.

Socket đã thông báo cho Eclipse Foundation, đơn vị vận hành Open VSX, về những phát hiện của họ, và nền tảng này đã thu hồi mã thông báo và gỡ bỏ các bản phát hành độc hại. Tuy nhiên, điều này không có nghĩa là mọi người đều an toàn. Người dùng đã tải xuống các tiện ích mở rộng vẫn phải gỡ bỏ chúng, quét hệ thống của mình để tìm bất kỳ dấu vết nào của phần mềm độc hại và thay đổi thông tin đăng nhập thường xuyên để giảm thiểu tối đa rủi ro.

Theo thông tin ban đầu, một trong những tiện ích mở rộng - oorzc.ssh-tools - đã bị xóa hoàn toàn khỏi Open VSX vì chứa nhiều phiên bản độc hại. Các tiện ích mở rộng khác chỉ đơn giản là được làm sạch và đưa trở lại nền tảng.