Ekstensi Berbahaya di VSCode Marketplace Sembunyikan Trojan dalam File PNG Palsu
Peneliti keamanan mengungkap kampanye berbahaya yang memanfaatkan ekstensi di VSCode Marketplace untuk menyebarkan malware ke sistem pengembang. Sedikitnya 19 ekstensi teridentifikasi membawa muatan berbahaya yang disamarkan di dalam folder dependensi, dengan teknik penyamaran yang dirancang agar sulit terdeteksi.
Aktivitas ini diketahui telah berlangsung sejak Februari dan baru terungkap dalam investigasi terbaru. Salah satu temuan paling mencolok adalah penggunaan file berbahaya yang menyamar sebagai gambar berformat PNG, padahal di dalamnya tersimpan komponen malware aktif.
VSCode Marketplace merupakan portal resmi Microsoft untuk ekstensi Visual Studio Code, sebuah lingkungan pengembangan terintegrasi yang sangat populer di kalangan pengembang. Tingginya tingkat adopsi platform ini menjadikannya target menarik bagi pelaku serangan rantai pasok, karena satu ekstensi berbahaya berpotensi menjangkau banyak sistem sekaligus.
Tim ReversingLabs, yang berfokus pada keamanan rantai pasok perangkat lunak, menemukan bahwa ekstensi berbahaya tersebut dikemas bersama folder node_modules. Pendekatan ini mencegah VSCode mengambil dependensi langsung dari repositori npm saat proses instalasi, sehingga kode berbahaya dapat disisipkan tanpa memicu pemeriksaan tambahan.
Di dalam folder tersebut, penyerang memodifikasi dependensi populer seperti path-is-absolute atau @actions/io. Sebuah kelas tambahan disisipkan ke dalam file index.js yang akan dieksekusi secara otomatis ketika VSCode dijalankan. Perlu dicatat, path-is-absolute merupakan paket npm yang sangat luas penggunaannya, dengan miliaran unduhan sejak 2021, namun versi berbahaya ini hanya ditemukan pada ekstensi yang terlibat dalam kampanye tersebut.
Kode tambahan tersebut bertugas mendekode JavaScript dropper tersembunyi dalam sebuah file bernama lock. Selain itu, terdapat arsip lain yang menyamar sebagai file gambar banner.png. Arsip palsu ini berisi dua komponen berbahaya, yakni living-off-the-land binary bernama cmstp.exe serta trojan berbasis Rust. Hingga kini, kemampuan penuh trojan tersebut masih dalam tahap analisis lebih lanjut.
Ekstensi yang terlibat dalam kampanye ini menggunakan nama bertema visual dan dirilis dengan nomor versi yang sama. Beberapa di antaranya adalah Malkolm Theme, PandaExpress Theme, Prada 555 Theme, dan Priskinski Theme. Seluruh ekstensi tersebut telah dilaporkan ke Microsoft dan dikonfirmasi telah dihapus dari VSCode Marketplace.
Meski demikian, pengguna yang sempat memasang ekstensi tersebut disarankan segera memindai sistem mereka untuk memastikan tidak ada tanda kompromi. Kampanye ini kembali menegaskan bahwa repositori publik untuk pengembangan perangkat lunak terus menjadi sasaran teknik pengelabuan baru.
Sebagai langkah pencegahan, pengembang dianjurkan untuk memeriksa paket secara menyeluruh sebelum instalasi, terutama jika berasal dari penerbit yang tidak dikenal. Perhatian khusus perlu diberikan pada dependensi yang dibundel langsung di dalam paket, karena pendekatan ini dapat digunakan untuk menghindari mekanisme verifikasi dari sumber tepercaya.
