В дополнение к предыдущему посту не можем не отметить следующее. По данным Wiz, атака, по всей видимости, была осуществлена путем взлома учетной записи службы cx-plugins-releases, при этом злоумышленники также опубликовали троянизированные версии расширений Open VSX ast-results (версия 2.53.0) и cx-dev-assist (версия 1.7.0). Версии из VS Code Marketplace не затронуты. После активации расширения вредоносная ПО проверяет, есть ли у жертвы учетные данные хотя бы для одного поставщика облачных услуг, такого как GitHub, AWS, Google Cloud и Microsoft Azure. Если такие учетные данные обнаружены, программа переходит к загрузке следующего этапа вредоносной ПО с того же домена (checkmarx[.]zone). Как отметили в Wiz, вредоносная ПО пытается выполнить свою задачу через npx, bunx, pnpx или yarn dlx. Это охватывает основные менеджеры пакетов JavaScript. Полученный пакет содержит комплексный инструмент для кражи учетных данных. Собранные учетные данные затем шифруются с использованием ключей, как и в других местах этой кампании, и передаются в checkmarx[.]zone/vsx в виде tpcp.tar.gz. В системах, не использующих CI, вредоносное ПО устанавливает постоянное присутствие через службу systemd. Скрипт опрашивает https://checkmarx[.]zone/raw каждые 50 минут на наличие дополнительных полезных нагрузок, с функцией аварийного завершения, которая прерывает работу, если ответ содержит «youtube». В настоящее время ссылка перенаправляет на песню The Show Must Go On группы Queen. Также было замечено, что хакеры атакуют кластеры Kubernetes с помощью вредоносного скрипта, который удаляет все данные с машин, когда обнаруживает системы, соответствующие иранскому часовому поясу и локали, что свидетельствует о новом уровне эскалации этой группы. Но это уже другая история.