Нова кампания със зловреден софтуер е насочена директно към софтуерни разработчици, използващи Microsoft Visual Studio Code (VS Code). Заплахата, наречена Evelyn Stealer, представлява усъвършенстван инфостийлър, който злоупотребява с екосистемата от разширения (extensions) на популярния редактор, за да компрометира разработващите среди и да източва чувствителна информация.
Според анализ на Trend Micro, публикуван тази седмица, основната цел на кампанията е кражба на идентификационни данни, криптоинформация и други чувствителни активи, като паралелно с това заразените среди могат да бъдат използвани и като входна точка към по-широки корпоративни системи.
Как работи атаката
Evelyn Stealer използва многостепенен механизъм на заразяване, базиран на злонамерени VS Code разширения. Първоначално подробности за кампанията са публикувани от Koi Security, които идентифицират три компрометирани разширения, водещи до изтегляне на злонамерен DLL файл.
Процесът на атака протича по следния начин:
-
злонамерено VS Code разширение инсталира DLL downloader
-
DLL файлът стартира скрита PowerShell команда
-
PowerShell изтегля и изпълнява втори етап от зловредния код
-
изпълнимият файл декриптира и инжектира основния payload директно в паметта на легитимен Windows процес
Този подход позволява на Evelyn Stealer да избягва детекция, тъй като не оставя традиционни следи на диска.
Какви данни се източват
Според Trend Micro, зловредният софтуер е способен да събира широк набор от данни, включително:
-
съдържание на клипборда
-
инсталирани приложения и активни процеси
-
скрийншотове от работния плот
-
запазени WiFi идентификационни данни
-
системна информация
-
криптовалутни портфейли
-
потребителски имена, пароли и cookies от Google Chrome и Microsoft Edge
Събраната информация се архивира в ZIP файл и се екфилтрира към отдалечен сървър чрез FTP.
Защо разработчиците са високорискова цел
Разработчиците се разглеждат като особено ценна мишена, тъй като техните среди често съдържат:
-
достъп до production системи
-
cloud ресурси и API ключове
-
вътрешни инструменти и кодови хранилища
-
цифрови активи и криптопортфейли
Както подчертават от Trend Micro, компрометирането на разработваща среда може лесно да прерасне в пълно корпоративно нарушение.
Антианализ и защита от детекция
Evelyn Stealer разполага и с механизми за откриване на виртуални и аналитични среди, което му позволява да избягва sandbox анализ. Освен това зловредният код прекратява активни браузър процеси, за да осигури безпроблемно извличане на данни и да намали риска от намеса от страна на защитни решения.
По-широката тенденция
Според експертите, тази кампания е ясен индикатор за еволюцията на кибератаките срещу developer екосистеми.
„Evelyn Stealer показва как атаките срещу разработчици вече се превръщат в оперативна практика, а не в изолирани инциденти“, отбелязват от Trend Micro.
Evelyn Stealer е сериозно напомняне, че доверените инструменти и разширения могат да се превърнат в оръжие, когато веригата на доставки бъде компрометирана. За организациите със софтуерни екипи това означава, че сигурността на разработващите среди трябва да бъде третирана като критична част от цялостната киберзащита, а не като второстепенен риск.
