发现两个恶意的Visual Studio Code(VSCode)Marketplace扩展程序部署了早期勒索软件,凸显了Microsoft审查流程中的重大缺陷。这些扩展程序名为“ahban.shiba”和“ahban.cychelloworld”,在被删除前仅被下载了几次,但它们能够绕过安全检查,在平台上存在了几个月。
这些扩展程序主要面向软件和Web开发人员,由ReversingLabs确定。它们包含一个PowerShell命令,用于下载和执行充当勒索软件的脚本,以特定桌面文件夹中的文件为目标。虽然勒索软件仍在开发中,但它能够加密文件,并要求支付1 ShibaCoin来解密,但没有提供进一步的指示。
在收到ReversingLabs的通知后,Microsoft删除了这些扩展程序。然而,ExtensionTotal的安全研究员Italy Kruk表示,他们的自动扫描程序此前已检测到这些威胁并通知了Microsoft,但未收到任何回复。值得注意的是,扩展程序“ahban.cychelloworld”在更新后变为恶意。
来源
