Ekstensi Jahat di VSCode Marketplace Sebarkan Infostealer
Dua ekstensi berbahaya ditemukan di Visual Studio Code Marketplace milik Microsoft, menyusup ke perangkat pengembang dengan malware pencuri informasi. Infostealer ini mampu mengambil tangkapan layar, mencuri kredensial, dompet kripto, serta membajak sesi peramban.
Ekstensi Bermasalah: Bitcoin Black dan Codo AI
Ekstensi berbahaya tersebut bernama Bitcoin Black dan Codo AI, masing-masing menyamar sebagai tema warna dan asisten AI. Keduanya dipublikasikan oleh pengembang dengan nama BigBlack. Saat ditemukan, Codo AI masih tersedia dengan kurang dari 30 unduhan, sementara Bitcoin Black hanya tercatat satu instalasi.
Menurut analisis Koi Security, Bitcoin Black memiliki event aktivasi “*” yang berjalan pada setiap aksi VSCode, serta mampu mengeksekusi kode PowerShell—fitur yang tidak relevan untuk sebuah tema. Versi lama menggunakan skrip PowerShell untuk mengunduh payload arsip, sementara versi terbaru beralih ke skrip batch (bat.sh) yang memanggil curl untuk mengunduh file DLL dan executable secara tersembunyi.
Mekanisme Infeksi
Kedua ekstensi menyertakan executable sah dari aplikasi Lightshot untuk tangkapan layar, namun juga menambahkan DLL berbahaya yang dimuat melalui teknik DLL hijacking. File berbahaya tersebut dijalankan sebagai runtime.exe dan terdeteksi sebagai ancaman oleh 29 dari 72 mesin antivirus di VirusTotal.
Malware ini membuat direktori bernama Evelyn di %APPDATA%\Local\ untuk menyimpan data curian, termasuk:
- Informasi sistem dan proses berjalan
- Konten clipboard
- Kredensial WiFi
- Daftar program terinstal
- Tangkapan layar
Selain itu, malware meluncurkan Chrome dan Edge dalam mode headless untuk mencuri cookie dan membajak sesi pengguna. Dompet kripto populer seperti Phantom, Metamask, dan Exodus juga menjadi target.
Respons dan Pencegahan
Microsoft telah menghapus kedua ekstensi dari marketplace setelah laporan ini dipublikasikan. Kasus ini menambah daftar kampanye ekstensi jahat yang sebelumnya juga menyasar platform VSCode, termasuk serangan Glassworm.
Pengembang disarankan hanya menginstal ekstensi dari penerbit terpercaya untuk meminimalkan risiko infeksi.
