Microsoft blokira nadogradnju na Windows 11 24H2 za sustave s određenim upravljačkim programom
April 8, 2025
WhatsApp ranjivost omogućuje napadačima izvršavanje zlonamjernog koda na Windows računalima
April 8, 2025
Devet ekstenzija za Visual Studio Code (VSCode) objavljenih na Microsoftovom Visual Studio Code Marketplaceu predstavljaju se kao legitimni alati za razvoj, dok u stvarnosti inficiraju korisnike XMRig kriptomajnerom za rudarenje kriptovaluta poput Ethereuma i Monera. BleepingComputer+1BleepingComputer+1
Detalji o zlonamjernim ekstenzijama:
Istraživač Yuval Ronen iz ExtensionTotala otkrio je 4. travnja 2025. sljedeće zlonamjerne ekstenzije:BleepingComputer
- Discord Rich Presence for VS Code (autor:
Mark H) – 189.000 instalacijaBleepingComputer - Rojo – Roblox Studio Sync (autor:
evaera) – 117.000 instalacijaBleepingComputer - Solidity Compiler (autor:
VSCode Developer) – 1.300 instalacijaBleepingComputer - Claude AI (autor:
Mark H)BleepingComputer - Golang Compiler (autor:
Mark H)BleepingComputer - ChatGPT Agent for VSCode (autor:
Mark H)BleepingComputer - HTML Obfuscator (autor:
Mark H)BleepingComputer - Python Obfuscator for VSCode (autor:
Mark H)BleepingComputer - Rust Compiler for VSCode (autor:
Mark H)BleepingComputer
Ove ekstenzije su zajedno prikupile preko 300.000 instalacija od datuma objave. Pretpostavlja se da su brojevi instalacija umjetno povećani kako bi se stekla lažna reputacija i privuklo više korisnika. BleepingComputer
Način djelovanja:
Nakon instalacije i aktivacije, zlonamjerne ekstenzije preuzimaju PowerShell skriptu s vanjskog izvora (https://asdf11[.]xyz/) i izvršavaju je. Istovremeno, instaliraju legitimnu ekstenziju koju oponašaju kako bi izbjegle sumnju korisnika. PowerShell skripta obavlja sljedeće radnje:BleepingComputer
- Stvara zakazani zadatak pod nazivom “OnedriveStartup” i ubacuje skriptu u Windows Registry kako bi osigurala pokretanje zlonamjernog softvera (
Launcher.exe) pri svakom pokretanju sustava.BleepingComputer - Isključuje ključne Windows servise poput Windows Updatea i Update Medica te dodaje svoj radni direktorij na popis izuzetaka Windows Defendera kako bi izbjegla detekciju.BleepingComputer
- Ako se skripta ne pokrene s administratorskim pravima, imitira sistemsku binarnu datoteku (
ComputerDefaults.exe) i koristi DLL hijacking s malicioznomMLANG.dllza eskalaciju privilegija i izvršavanjeLauncher.exe.BleepingComputer Launcher.exese povezuje s sekundarnim serverom (myaunet[.]su) kako bi preuzeo i pokrenuo XMRig, Monero kriptomajner. BleepingComputer
Preporuke za korisnike:
- Provjera instaliranih ekstenzija: Korisnici bi trebali pregledati popis instaliranih VSCode ekstenzija i odmah ukloniti one koje se podudaraju s gore navedenim imenima.
- Ažuriranje sigurnosnog softvera: Osigurajte da su antivirusni i anti-malware programi ažurirani kako bi mogli detektirati i ukloniti potencijalne prijetnje.
- Praćenje performansi sustava: Obratite pažnju na neuobičajeno visoko korištenje CPU-a, što može ukazivati na prisutnost kriptomajnera.
- Ponovno instaliranje sustava: Ako sumnjate da je vaš sustav kompromitiran, razmislite o potpunom ponovno instaliranju operativnog sustava kako biste uklonili sve tragove zlonamjernog softvera.
Ovaj incident naglašava važnost opreza pri instalaciji ekstenzija iz online repozitorija i potrebu za stalnim praćenjem sigurnosnih prijetnji u razvojnim alatima.
