ztevenreal
- Dos extensiones de VSCode extrajeron datos confidenciales de los usuarios a servidores chinos
- ChatGPT: la interpretación china y ChatMoss tuvieron más de 1,5 millones de instalaciones combinadas
- Las extensiones utilizaban iframes, comandos y SDK ocultos para robar archivos y realizar un seguimiento de la actividad.
Es posible que más de 1,5 millones de personas hayan pasado sus datos confidenciales filtrados a piratas informáticos chinos a través de dos extensiones maliciosas encontradas en VSCode Marketplace.
Los investigadores de seguridad de Koi Security dijeron que descubrieron dos extensiones de navegador maliciosas en Visual Studio Code (VSCode) Marketplace de Microsoft, la tienda oficial de Microsoft para complementos de tiraje de código.
Las extensiones se anunciaron como asistentes de codificación basados en IA. De hecho, funcionaron como se anunciaba, brindando a los usuarios una forma sencilla y conveniente de alcanzar a una utensilio de Inteligencia Fabricado Generativa (GenAI) para ayudar con la codificación. Sin confiscación, las herramientas igualmente cargaban datos confidenciales a un servidor de terceros en China sin informar a los usuarios al respecto.
maliciosocorgi
Según Koi, estos son los complementos en cuestión, que todavía están disponibles para descargar en el mercado:
ChatGPT – Interpretación china (editor: WhenSunset, 1,34 millones de instalaciones)
ChatMoss (CodeMoss) (editor: zhukunpeng, 150.000 instalaciones)
Koi dice que uno y otro son parte de la campaña ‘MaliciousCorgi’ y que uno y otro enviaban los datos robados al mismo servidor.
Para extraer los datos, utilizaron tres mecanismos distintos, se dijo. El primero es mediante el monitoreo en tiempo actual de los archivos abiertos en el cliente VS Code. Tan pronto como la víctima abre un archivo, su contenido se codifica en Base64 y se transmite a los servidores.
“En el momento en que abres cualquier archivo (no interactúas con él, simplemente lo abres), la extensión lee todo su contenido, lo codifica como Base64 y lo envía a una instinto web que contiene un iframe de seguimiento oculto. No 20 líneas. Todo el archivo”, explicaron los investigadores.
El segundo mecanismo es un comando controlado por el servidor que envía sigilosamente hasta 50 archivos desde el espacio de trabajo de la víctima, mientras que el tercero es un iframe de cero píxeles en la instinto web de la extensión donde se cargan los SDK de estudio comerciales. Estos SDK rastrean el comportamiento del sucesor, crean perfiles de identidad y monitorean otras actividades.
Microsoft dijo pitidocomputadora Estaba investigando la situación, pero los complementos todavía están disponibles para descargar.
A través de pitidocomputadora
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para aceptar noticiero, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el yema Seguir!
Y por supuesto igualmente puedes Siga TechRadar en TikTok para noticiero, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp igualmente.
