کمیته رکن چهارم– پژوهشگران امنیت سایبری افزونهای مخرب در پلتفرم Open VSX کشف کردهاند که با استفاده از قراردادهای هوشمند اتریومی، کنترل بدافزار را فعال نگه میدارد. این افزونه با نام SleepyDuck ابتدا در نسخهای بیضرر منتشر شد اما پس از جذب بیش از ۱۴ هزار دانلود، در بهروزرسانی بعدی به یک تروجان دسترسی از راه دور تبدیل شد.
به گزارش کمیته رکن چهارم، این بدافزار با باز شدن فایلهای کدنویسی Solidity فعال شده و با استفاده از سریعترین سرورهای بلاکچین اتریوم، آدرس فرمان خود را از یک قرارداد هوشمند بازیابی میکند. این روش باعث میشود حتی در صورت از کار افتادن دامنه اصلی، همچنان ارتباط با سرور ادامه یابد. بدافزار اطلاعاتی مانند نام کاربری، نام دستگاه و منطقه زمانی را جمعآوری کرده و به سرور ارسال میکند. همچنین هر ۳۰ ثانیه برای دریافت دستور جدید، سرور را بررسی میکند.
در یک مورد دیگر، پنج افزونه مخرب توسط یک حساب ناشناس در بازار VS Code منتشر شدهاند که یکی از آنها با موضوع Pokémon پس از نصب، اسکریپت مخربی را از یک سرور خارجی دانلود و اجرا میکند. این اسکریپت با دسترسی ادمین، آنتیویروس سیستم را دستکاری کرده و نرمافزار استخراج رمزارز Monero را نصب میکند.
در پایان، کارشناسان امنیتی هشدار دادهاند کاربران تنها از ناشران معتبر افزونه دریافت کنند. مایکروسافت اعلام کرده که بررسی امنیتی دورهای برای شناسایی افزونههای آلوده را آغاز کرده است.
