Visual Studio Code-extension
A Nextron jelentése szerint egy VS Code-ban terjesztett kiegészítő —Material Icon Theme –, valójában rosszindulatú kódot tartalmazó verzióval került fel a Marketplace-re, azóta a verzió 5.29.1-hez két implantátum lett beágyazva Rust nyelven. Ezek a bináris komponensek akkor futnak le, amint a kiterjesztés aktiválódik, és működésük nem különösebben burkolt, a strukturált fájl direkt másolja a valós, ártatlan Material Icon Theme elrendezését — így a rossz fájlok nem tűnnek első pillantásra gyanúsnak.
Az implantátumok vezérlőszervere úgy van megszervezve, hogy a C2 instrukciókat nem hagyományos C2 szerverről kérik le, hanem egy publikus blokklánc-címre és a hozzá tartozó kripto-wallet-címre. Ez a módszer — amit már korábban a GlassWorm kampány esetében is dokumentáltak — lehetővé teszi, hogy a kommunikáció azonosíthatatlan vagy nehezen követhető legyen, és ne tűnjön gyanúsnak tipikus hálózati forgalomként.
A fertőzés során az implant letölt egy base64-kódolt blobot a blokkláncról, amit dekódol — az eredmény egy AES-256-CBC-vel titkosított JavaScript fájl, amely a károkozó logikát tartalmazza. Amennyiben a fő C2-cím elérhetetlenné válik, fallback-ként a támadók egy Google Calendar-eseményt használnak, amelynek címe — látszólag ártalmatlan — de a valóságban rejtett URL-t tartalmaz. Az URL a következő payload letöltésére szolgál.
Ez a technikailag kifinomult lánc — Rust bináris implantátum + blokklánc-alapú vezérlés + titkosított JavaScript-payload + fallback-mechanizmus — jól példázza, hogyan válhat egy fejlesztői eszköz — amelyet akár napi szinten használnak — vírusterjesztési platformmá. A támadók így supply chain attack működtetnek, amelyben a fertőzés behatolási pontja nem egy sebezhető szerver, hanem egy ártatlannak tűnő VS Code-extension.
