- Dos extensiones de VSCode extrajeron datos confidenciales de usuarios en servidores chinos
- ChatGPT: la versión china y ChatMoss combinados tuvieron más de 1,5 millones de instalaciones
- Las extensiones utilizan iframes, comandos y SDK ocultos para robar archivos y realizar un seguimiento de la actividad
Los datos confidenciales de más de 1,5 millones de personas han quedado expuestos a piratas informáticos chinos a través de dos extensiones maliciosas encontradas en el mercado VSCode.
Los investigadores de seguridad de Koi Security dijeron que descubrieron dos extensiones de navegador maliciosas en el mercado Visual Studio Code (VSCCode) de Microsoft, la tienda oficial de Microsoft para complementos de edición de código.
Las extensiones se anunciaron como asistentes de codificación basados en IA. De hecho, funcionaron como se anunciaba, brindando a los usuarios una manera fácil y conveniente de acceder a una herramienta de Inteligencia Artificial Generativa (GenAI) para ayudar con la codificación. Sin embargo, las herramientas cargaban datos confidenciales a un servidor de terceros en China sin informar a los usuarios.
Corgi dañino
Según Koi, estos son los complementos en cuestión, que todavía están disponibles para descargar en el mercado:
ChatGPT: versión china (Editorial: Huey Sunset, 1,34 millones de instalaciones)
ChatMoss (CodeMoss) (Editor: Zhukunpeng, 150.000 instalaciones)
Koi dijo que ambos eran parte de la campaña ‘Malicious Corgi’ y que ambos enviaban datos robados al mismo servidor.
Para extraer los datos, utilizaron tres procesos distintos, se dijo. La primera es mediante el monitoreo en tiempo real de los archivos abiertos en el cliente VS Code. Tan pronto como la víctima abre un archivo, su contenido se codifica en Base64 y se transmite al servidor.
“En el momento en que abres un archivo (no interactúes con él, simplemente ábrelo), la extensión lee todo su contenido, lo codifica como base64 y lo envía a una vista web con un iframe de seguimiento oculto. No 20 líneas. Todo el archivo”, explicaron los investigadores.
El segundo mecanismo es un comando controlado por el servidor que envía sigilosamente hasta 50 archivos desde el espacio de trabajo de la víctima, mientras que el tercero es un iframe de cero píxeles en la vista web de la extensión donde se carga el SDK de Commercial Analytics. Estos SDK rastrean el comportamiento del usuario, crean perfiles de identidad y monitorean otras actividades.
microsoft dijo Computadora pitando Estaba analizando la situación, pero los complementos todavía están disponibles para descargar.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
