Guai per Microsoft VSCode, estensioni malevole potrebbero aver colpito oltre 1,5 milioni di utenti

Notizie
Di Pubblicato

Due estensioni per VSCode sono state scoperte mentre sottraevano dati sensibili degli sviluppatori.

China
(Immagine:: Shutterstock)
  • Due estensioni per VSCode hanno esfiltrato dati sensibili degli utenti verso server cinesi
  • ChatGPT – 中文版 e ChatMoss hanno totalizzato oltre 1,5 milioni di installazioni
  • Le estensioni utilizzavano iframe nascosti, comandi e SDK per sottrarre file e monitorare le attività

Oltre 1,5 milioni di persone potrebbero aver subito l'esfiltrazione dei propri dati sensibili a opera di hacker cinesi attraverso due estensioni malevole scoperte sul Marketplace di VSCode.

I ricercatori di Koi Security hanno dichiarato di aver individuato i due componenti dannosi nel Marketplace di Microsoft Visual Studio Code (VSCode), lo store ufficiale per i componenti aggiuntivi dell'editor di codice.

Le estensioni venivano pubblicizzate come assistenti alla programmazione basati sull'intelligenza artificiale. Di fatto, funzionavano esattamente come promesso, offrendo agli utenti un modo semplice e immediato per accedere a strumenti di IA generativa (GenAI) per scrivere codice. Tuttavia, all'insaputa degli utilizzatori, i tool caricavano dati sensibili su un server di terze parti situato in Cina.

MaliciousCorgi

Secondo Koi, i componenti aggiuntivi in questione, entrambi ancora disponibili per il download sul marketplace, sono i seguenti:

ChatGPT – 中文版 (editore: WhenSunset, 1,34 milioni di installazioni)

ChatMoss (CodeMoss) (editore: zhukunpeng, 150.000 installazioni)

Koi afferma che entrambi fanno parte della campagna denominata "MaliciousCorgi" e inviavano i dati rubati allo stesso server.

Per l'esfiltrazione dei dati venivano utilizzati tre meccanismi distinti. Il primo consiste nel monitoraggio in tempo reale dei file aperti nel client VS Code: non appena la vittima apre un file, il suo contenuto viene codificato in Base64 e inoltrato ai server.

"Nel momento in cui apri un file — senza nemmeno interagirci, basta solo aprirlo — l'estensione ne legge l'intero contenuto, lo codifica in Base64 e lo invia a una webview contenente un iframe di tracciamento nascosto. Non solo 20 righe. L'intero file", hanno spiegato i ricercatori.

Il secondo meccanismo è un comando controllato dal server che invia furtivamente fino a 50 file dall'area di lavoro (workspace) della vittima, mentre il terzo è un iframe da zero pixel nella webview dell'estensione in cui vengono caricati SDK di analisi commerciale. Questi SDK tracciano il comportamento dell'utente, creano profili identificativi e monitorano altre attività.

Microsoft ha dichiarato a BleepingComputer di star esaminando la situazione, ma gli add-on risultano ancora scaricabili.

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.