พบส่วนขยาย VS Code อันตราย แฝงโทรจันในไฟล์ PNG ปลอม
รายงานจาก Hackread เปิดเผยว่า นักวิจัยจาก ReversingLabs ตรวจพบแคมเปญโจมตีที่ซับซ้อน โดยมีการปล่อยส่วนขยาย (extensions) อันตรายบน Visual Studio Code Marketplace รวมทั้งหมด 19 ตัว ซึ่งแฝงโทรจันไว้ภายใน โดยใช้เทคนิคการปลอมไฟล์ PNG เพื่อหลอกผู้ใช้และนักพัฒนา
วิธีการโจมตี
ผู้โจมตีใช้เทคนิค Dependency Trick โดยแก้ไขแพ็กเกจยอดนิยมอย่าง path-is-absolute (มีการดาวน์โหลดกว่า 9 พันล้านครั้งตั้งแต่ปี 2021) ก่อนจะบันเดิลเข้าไปในส่วนขยายปลอม
เมื่อ VS Code เริ่มทำงาน โค้ดที่ถูกฝังจะถูกเรียกใช้ทันที และถอดรหัส JavaScript dropper ที่ซ่อนอยู่ในไฟล์ชื่อ lock
ขั้นตอนสุดท้ายคือการใช้ไฟล์ banner.png ซึ่งดูเหมือนภาพธรรมดา แต่จริง ๆ เป็น archive ที่บรรจุไฟล์ไบนารีอันตราย 2 ตัว โดย dropper จะใช้เครื่องมือ Windows cmstp.exe เพื่อรันไฟล์เหล่านี้
ผลกระทบ
โทรจันที่ถูกปล่อยสามารถทำงานได้ทันทีเมื่อเปิด VS Code และอาจให้สิทธิ์ผู้โจมตีเข้าถึงระบบ
ส่วนขยายบางตัวใช้แพ็กเกจอื่น เช่น @actions/io โดยแยกไฟล์อันตรายออกเป็น .ts และ .map แทนการใช้ PNG
จำนวนการตรวจพบส่วนขยายอันตรายในปี 2025 เพิ่มขึ้นอย่างรวดเร็ว จาก 27 ตัวในปี 2024 เป็น 105 ตัวในปี 2025
การตอบสนอง
ส่วนขยายที่ถูกพบทั้งหมดถูกแจ้งไปยัง Microsoft แล้ว
นักวิจัยเตือนให้นักพัฒนาตรวจสอบส่วนขยายก่อนติดตั้ง โดยเฉพาะส่วนขยายที่มีจำนวนดาวน์โหลดน้อยหรือรีวิวไม่มาก
แนะนำให้ใช้ trusted sources และตรวจสอบ dependencies อย่างละเอียด
สรุปประเด็นสำคัญ
เทคนิคการโจมตี
ปลอมแพ็กเกจ path-is-absolute และฝังโค้ดอันตราย
ใช้ไฟล์ PNG ปลอม (banner.png) บรรจุโทรจัน
ผลกระทบ
โทรจันรันทันทีเมื่อเปิด VS Code
จำนวนส่วนขยายอันตรายเพิ่มขึ้นกว่า 4 เท่าในปี 2025
การตอบสนอง
Microsoft ได้รับรายงานและลบส่วนขยายอันตราย
นักพัฒนาควรตรวจสอบรีวิวและจำนวนดาวน์โหลดก่อนติดตั้ง
คำเตือนสำหรับนักพัฒนา
การติดตั้งส่วนขยายที่ไม่น่าเชื่อถือเสี่ยงต่อการติดมัลแวร์
ควรตรวจสอบ dependencies และหลีกเลี่ยงการใช้แพ็กเกจที่ไม่เป็นที่รู้จัก
https://hackread.com/malicious-vs-code-extensions-trojan-fake-png-files/
รายงานจาก Hackread เปิดเผยว่า นักวิจัยจาก ReversingLabs ตรวจพบแคมเปญโจมตีที่ซับซ้อน โดยมีการปล่อยส่วนขยาย (extensions) อันตรายบน Visual Studio Code Marketplace รวมทั้งหมด 19 ตัว ซึ่งแฝงโทรจันไว้ภายใน โดยใช้เทคนิคการปลอมไฟล์ PNG เพื่อหลอกผู้ใช้และนักพัฒนา
วิธีการโจมตี
ผู้โจมตีใช้เทคนิค Dependency Trick โดยแก้ไขแพ็กเกจยอดนิยมอย่าง path-is-absolute (มีการดาวน์โหลดกว่า 9 พันล้านครั้งตั้งแต่ปี 2021) ก่อนจะบันเดิลเข้าไปในส่วนขยายปลอม
เมื่อ VS Code เริ่มทำงาน โค้ดที่ถูกฝังจะถูกเรียกใช้ทันที และถอดรหัส JavaScript dropper ที่ซ่อนอยู่ในไฟล์ชื่อ lock
ขั้นตอนสุดท้ายคือการใช้ไฟล์ banner.png ซึ่งดูเหมือนภาพธรรมดา แต่จริง ๆ เป็น archive ที่บรรจุไฟล์ไบนารีอันตราย 2 ตัว โดย dropper จะใช้เครื่องมือ Windows cmstp.exe เพื่อรันไฟล์เหล่านี้
ผลกระทบ
โทรจันที่ถูกปล่อยสามารถทำงานได้ทันทีเมื่อเปิด VS Code และอาจให้สิทธิ์ผู้โจมตีเข้าถึงระบบ
ส่วนขยายบางตัวใช้แพ็กเกจอื่น เช่น @actions/io โดยแยกไฟล์อันตรายออกเป็น .ts และ .map แทนการใช้ PNG
จำนวนการตรวจพบส่วนขยายอันตรายในปี 2025 เพิ่มขึ้นอย่างรวดเร็ว จาก 27 ตัวในปี 2024 เป็น 105 ตัวในปี 2025
การตอบสนอง
ส่วนขยายที่ถูกพบทั้งหมดถูกแจ้งไปยัง Microsoft แล้ว
นักวิจัยเตือนให้นักพัฒนาตรวจสอบส่วนขยายก่อนติดตั้ง โดยเฉพาะส่วนขยายที่มีจำนวนดาวน์โหลดน้อยหรือรีวิวไม่มาก
แนะนำให้ใช้ trusted sources และตรวจสอบ dependencies อย่างละเอียด
สรุปประเด็นสำคัญ
เทคนิคการโจมตี
ปลอมแพ็กเกจ path-is-absolute และฝังโค้ดอันตราย
ใช้ไฟล์ PNG ปลอม (banner.png) บรรจุโทรจัน
ผลกระทบ
โทรจันรันทันทีเมื่อเปิด VS Code
จำนวนส่วนขยายอันตรายเพิ่มขึ้นกว่า 4 เท่าในปี 2025
การตอบสนอง
Microsoft ได้รับรายงานและลบส่วนขยายอันตราย
นักพัฒนาควรตรวจสอบรีวิวและจำนวนดาวน์โหลดก่อนติดตั้ง
คำเตือนสำหรับนักพัฒนา
การติดตั้งส่วนขยายที่ไม่น่าเชื่อถือเสี่ยงต่อการติดมัลแวร์
ควรตรวจสอบ dependencies และหลีกเลี่ยงการใช้แพ็กเกจที่ไม่เป็นที่รู้จัก
https://hackread.com/malicious-vs-code-extensions-trojan-fake-png-files/
🛡️ พบส่วนขยาย VS Code อันตราย แฝงโทรจันในไฟล์ PNG ปลอม
รายงานจาก Hackread เปิดเผยว่า นักวิจัยจาก ReversingLabs ตรวจพบแคมเปญโจมตีที่ซับซ้อน โดยมีการปล่อยส่วนขยาย (extensions) อันตรายบน Visual Studio Code Marketplace รวมทั้งหมด 19 ตัว ซึ่งแฝงโทรจันไว้ภายใน โดยใช้เทคนิคการปลอมไฟล์ PNG เพื่อหลอกผู้ใช้และนักพัฒนา
🎯 วิธีการโจมตี
💠 ผู้โจมตีใช้เทคนิค Dependency Trick โดยแก้ไขแพ็กเกจยอดนิยมอย่าง path-is-absolute (มีการดาวน์โหลดกว่า 9 พันล้านครั้งตั้งแต่ปี 2021) ก่อนจะบันเดิลเข้าไปในส่วนขยายปลอม
💠 เมื่อ VS Code เริ่มทำงาน โค้ดที่ถูกฝังจะถูกเรียกใช้ทันที และถอดรหัส JavaScript dropper ที่ซ่อนอยู่ในไฟล์ชื่อ lock
💠 ขั้นตอนสุดท้ายคือการใช้ไฟล์ banner.png ซึ่งดูเหมือนภาพธรรมดา แต่จริง ๆ เป็น archive ที่บรรจุไฟล์ไบนารีอันตราย 2 ตัว โดย dropper จะใช้เครื่องมือ Windows cmstp.exe เพื่อรันไฟล์เหล่านี้
⚠️ ผลกระทบ
💠 โทรจันที่ถูกปล่อยสามารถทำงานได้ทันทีเมื่อเปิด VS Code และอาจให้สิทธิ์ผู้โจมตีเข้าถึงระบบ
💠 ส่วนขยายบางตัวใช้แพ็กเกจอื่น เช่น @actions/io โดยแยกไฟล์อันตรายออกเป็น .ts และ .map แทนการใช้ PNG
💠 จำนวนการตรวจพบส่วนขยายอันตรายในปี 2025 เพิ่มขึ้นอย่างรวดเร็ว จาก 27 ตัวในปี 2024 เป็น 105 ตัวในปี 2025
🛡️ การตอบสนอง
💠 ส่วนขยายที่ถูกพบทั้งหมดถูกแจ้งไปยัง Microsoft แล้ว
💠 นักวิจัยเตือนให้นักพัฒนาตรวจสอบส่วนขยายก่อนติดตั้ง โดยเฉพาะส่วนขยายที่มีจำนวนดาวน์โหลดน้อยหรือรีวิวไม่มาก
💠 แนะนำให้ใช้ trusted sources และตรวจสอบ dependencies อย่างละเอียด
📌 สรุปประเด็นสำคัญ
✅ เทคนิคการโจมตี
➡️ ปลอมแพ็กเกจ path-is-absolute และฝังโค้ดอันตราย
➡️ ใช้ไฟล์ PNG ปลอม (banner.png) บรรจุโทรจัน
✅ ผลกระทบ
➡️ โทรจันรันทันทีเมื่อเปิด VS Code
➡️ จำนวนส่วนขยายอันตรายเพิ่มขึ้นกว่า 4 เท่าในปี 2025
✅ การตอบสนอง
➡️ Microsoft ได้รับรายงานและลบส่วนขยายอันตราย
➡️ นักพัฒนาควรตรวจสอบรีวิวและจำนวนดาวน์โหลดก่อนติดตั้ง
‼️ คำเตือนสำหรับนักพัฒนา
⛔ การติดตั้งส่วนขยายที่ไม่น่าเชื่อถือเสี่ยงต่อการติดมัลแวร์
⛔ ควรตรวจสอบ dependencies และหลีกเลี่ยงการใช้แพ็กเกจที่ไม่เป็นที่รู้จัก
https://hackread.com/malicious-vs-code-extensions-trojan-fake-png-files/
0 Comments
0 Shares
16 Views
0 Reviews
Thai