TigerJack
A Koi Research ismerteti a TigerJack műveletet, melynek során támadó több, professzionálisnak tűnő VS Code-kiterjesztést helyezett el különböző piacokon, amelyek egyszerre szolgáltak hasznos fejlesztői funkcióként és rejtett kártevőként — a legsikeresebb csomagok, például a „C++ Playground” és az „HTTP Format” több tízezer fejlesztőgépet fertőztek meg, miközben a támadó forráskódot lopott, kriptobányászatot indított és távoli kódfuttatási hátteret biztosított.
A kiterjesztések valóban működnek és teljesítik a reklámozott ígéreteket, ezért a felhasználó nem gyanakszik. A „C++ Playground” például valós időben figyeli a szerkesztett C++ fájlokat, minden változtatást csomagol és továbbít külső szerverekre, míg más csomagok rejtett CoinIMP-kulcsokat tartalmaznak, és a gép erőforrásait titokban bányászatra használják.
A legszélsőségesebb komponensek távoli parancsvégrehajtó hátsóajtót működtetnek, periodikusan lekérnek külső JavaScript-kódot, majd végrehajtják azt, így a támadó később tetszőleges műveleteket tolthat a kompromittált rendszereken — ez a megközelítés dinamikus, frissíthető kontrollt ad a rosszindulatú üzemeltetők kezébe.
A kampány vihara ráadásul nem korlátozódik egyetlen piactérre, miután Microsoft eltávolította egyes csomagokat, a veszély átköltözött más, kevésbé ellenőrzött platformokra (például OpenVSX), és a támadó újra- és tömegesen újrapublikálta a kódot más kiadói fiókok alá, így a fenyegetés hosszú távon fennmarad.
A fejlesztői eszközök vállalati kockázat. Érdemes korlátozni a harmadik fél-kiterjesztések telepítését, bevezetni központi engedélyezési folyamatot, titkokat és kulcsokat soha ne hagyni lokális környezetben, valamint végponti és hálózati telemetriával monitorozni a kimenő kapcsolódásokat és erőforrás-használatot — különösen a fejlesztői gépeken, ahol értékes szellemi tulajdon található.
