VSCode ถูกเจาะ! ปลั๊กอินอันตรายขโมยโค้ด-เปิด backdoor
HelixGuard Threat Intelligence ได้เปิดเผยการโจมตีแบบ supply chain ที่รุนแรงที่สุดครั้งหนึ่งในวงการ IDE โดยพบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX ซึ่งบางตัวยังคงออนไลน์อยู่ในขณะค้นพบ
ปลั๊กอินเหล่านี้ไม่ได้แค่ขโมยโค้ด แต่ยังสามารถ:
ดึงข้อมูล credential
จับภาพหน้าจอ
เปิด remote shell
สร้าง reverse shell เพื่อควบคุมเครื่องของนักพัฒนา
ตัวอย่างปลั๊กอินอันตราย:
Christine-devops1234.scraper: ส่งข้อมูลโค้ดและภาพไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
Kodease.fyp-23-s2-08: ใช้ Ngrok tunnel เพื่อส่งโค้ดที่เลือกไปยัง endpoint อันตราย
teste123444212.teste123444212: สร้าง reverse shell เชื่อมต่อกับ EC2 instance เพื่อรันคำสั่งจากระยะไกล
ToToRoManComp.diff-tool-vsc: ใช้ Bash และ Perl สร้าง shell session ไปยัง IP อันตราย
BX-Dev.Blackstone-DLP: ดึงข้อมูล clipboard และจับภาพหน้าจอส่งไปยัง CloudFront
ที่น่ากังวลคือปลั๊กอินบางตัวมีความสามารถในการตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์ เช่นการส่ง beacon ไปยัง webhook เพื่อยืนยันการติดตั้ง
HelixGuard เตือนว่า IDE ที่ถูกเจาะอาจกลายเป็นช่องทางเข้าสู่ระบบภายในองค์กร โดยเฉพาะใน DevOps pipeline และระบบที่ใช้ AI ช่วยเขียนโค้ด
พบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX
บางตัวยังคงออนไลน์อยู่ในขณะค้นพบ
ปลั๊กอินสามารถขโมยโค้ด, credential, ภาพหน้าจอ และเปิด remote shell
ใช้เทคนิค reverse shell ผ่าน Bash, Perl และ JavaScript
มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี เช่น AWS EC2, Ngrok, CloudFront
บางปลั๊กอินมีระบบตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์
เป็นภัยคุกคามต่อ DevOps pipeline และระบบที่ใช้ AI coding
นักพัฒนาอาจถูกขโมยโค้ดและข้อมูลสำคัญโดยไม่รู้ตัว
IDE ที่ถูกเจาะสามารถเป็นช่องทางเข้าสู่ระบบภายในองค์กร
ปลั๊กอินอันตรายอาจแฝงตัวใน Marketplace อย่างแนบเนียน
การใช้ปลั๊กอินโดยไม่ตรวจสอบอาจเปิดช่องให้มัลแวร์ควบคุมเครื่อง
https://securityonline.info/vscode-supply-chain-compromise-12-malicious-extensions-steal-source-code-and-open-remote-shells/
HelixGuard Threat Intelligence ได้เปิดเผยการโจมตีแบบ supply chain ที่รุนแรงที่สุดครั้งหนึ่งในวงการ IDE โดยพบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX ซึ่งบางตัวยังคงออนไลน์อยู่ในขณะค้นพบ
ปลั๊กอินเหล่านี้ไม่ได้แค่ขโมยโค้ด แต่ยังสามารถ:
ดึงข้อมูล credential
จับภาพหน้าจอ
เปิด remote shell
สร้าง reverse shell เพื่อควบคุมเครื่องของนักพัฒนา
ตัวอย่างปลั๊กอินอันตราย:
Christine-devops1234.scraper: ส่งข้อมูลโค้ดและภาพไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
Kodease.fyp-23-s2-08: ใช้ Ngrok tunnel เพื่อส่งโค้ดที่เลือกไปยัง endpoint อันตราย
teste123444212.teste123444212: สร้าง reverse shell เชื่อมต่อกับ EC2 instance เพื่อรันคำสั่งจากระยะไกล
ToToRoManComp.diff-tool-vsc: ใช้ Bash และ Perl สร้าง shell session ไปยัง IP อันตราย
BX-Dev.Blackstone-DLP: ดึงข้อมูล clipboard และจับภาพหน้าจอส่งไปยัง CloudFront
ที่น่ากังวลคือปลั๊กอินบางตัวมีความสามารถในการตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์ เช่นการส่ง beacon ไปยัง webhook เพื่อยืนยันการติดตั้ง
HelixGuard เตือนว่า IDE ที่ถูกเจาะอาจกลายเป็นช่องทางเข้าสู่ระบบภายในองค์กร โดยเฉพาะใน DevOps pipeline และระบบที่ใช้ AI ช่วยเขียนโค้ด
พบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX
บางตัวยังคงออนไลน์อยู่ในขณะค้นพบ
ปลั๊กอินสามารถขโมยโค้ด, credential, ภาพหน้าจอ และเปิด remote shell
ใช้เทคนิค reverse shell ผ่าน Bash, Perl และ JavaScript
มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี เช่น AWS EC2, Ngrok, CloudFront
บางปลั๊กอินมีระบบตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์
เป็นภัยคุกคามต่อ DevOps pipeline และระบบที่ใช้ AI coding
นักพัฒนาอาจถูกขโมยโค้ดและข้อมูลสำคัญโดยไม่รู้ตัว
IDE ที่ถูกเจาะสามารถเป็นช่องทางเข้าสู่ระบบภายในองค์กร
ปลั๊กอินอันตรายอาจแฝงตัวใน Marketplace อย่างแนบเนียน
การใช้ปลั๊กอินโดยไม่ตรวจสอบอาจเปิดช่องให้มัลแวร์ควบคุมเครื่อง
https://securityonline.info/vscode-supply-chain-compromise-12-malicious-extensions-steal-source-code-and-open-remote-shells/
🧨 VSCode ถูกเจาะ! ปลั๊กอินอันตรายขโมยโค้ด-เปิด backdoor
HelixGuard Threat Intelligence ได้เปิดเผยการโจมตีแบบ supply chain ที่รุนแรงที่สุดครั้งหนึ่งในวงการ IDE โดยพบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX ซึ่งบางตัวยังคงออนไลน์อยู่ในขณะค้นพบ
ปลั๊กอินเหล่านี้ไม่ได้แค่ขโมยโค้ด แต่ยังสามารถ:
💠 ดึงข้อมูล credential
💠 จับภาพหน้าจอ
💠 เปิด remote shell
💠 สร้าง reverse shell เพื่อควบคุมเครื่องของนักพัฒนา
ตัวอย่างปลั๊กอินอันตราย:
💠 Christine-devops1234.scraper: ส่งข้อมูลโค้ดและภาพไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
💠 Kodease.fyp-23-s2-08: ใช้ Ngrok tunnel เพื่อส่งโค้ดที่เลือกไปยัง endpoint อันตราย
💠 teste123444212.teste123444212: สร้าง reverse shell เชื่อมต่อกับ EC2 instance เพื่อรันคำสั่งจากระยะไกล
💠 ToToRoManComp.diff-tool-vsc: ใช้ Bash และ Perl สร้าง shell session ไปยัง IP อันตราย
💠 BX-Dev.Blackstone-DLP: ดึงข้อมูล clipboard และจับภาพหน้าจอส่งไปยัง CloudFront
ที่น่ากังวลคือปลั๊กอินบางตัวมีความสามารถในการตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์ เช่นการส่ง beacon ไปยัง webhook เพื่อยืนยันการติดตั้ง
HelixGuard เตือนว่า IDE ที่ถูกเจาะอาจกลายเป็นช่องทางเข้าสู่ระบบภายในองค์กร โดยเฉพาะใน DevOps pipeline และระบบที่ใช้ AI ช่วยเขียนโค้ด
✅ พบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX
➡️ บางตัวยังคงออนไลน์อยู่ในขณะค้นพบ
➡️ ปลั๊กอินสามารถขโมยโค้ด, credential, ภาพหน้าจอ และเปิด remote shell
➡️ ใช้เทคนิค reverse shell ผ่าน Bash, Perl และ JavaScript
➡️ มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี เช่น AWS EC2, Ngrok, CloudFront
➡️ บางปลั๊กอินมีระบบตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์
➡️ เป็นภัยคุกคามต่อ DevOps pipeline และระบบที่ใช้ AI coding
‼️ นักพัฒนาอาจถูกขโมยโค้ดและข้อมูลสำคัญโดยไม่รู้ตัว
⛔ IDE ที่ถูกเจาะสามารถเป็นช่องทางเข้าสู่ระบบภายในองค์กร
⛔ ปลั๊กอินอันตรายอาจแฝงตัวใน Marketplace อย่างแนบเนียน
⛔ การใช้ปลั๊กอินโดยไม่ตรวจสอบอาจเปิดช่องให้มัลแวร์ควบคุมเครื่อง
https://securityonline.info/vscode-supply-chain-compromise-12-malicious-extensions-steal-source-code-and-open-remote-shells/
0 Comments
0 Shares
45 Views
0 Reviews
Thai