Evelyn窃取器恶意软件滥用VS Code扩展窃取开发者凭据和加密货币

网络安全研究人员披露了一项恶意软件攻击活动的详细信息，该活动通过武器化微软Visual Studio Code（VS Code）扩展生态系统，使用名为Evelyn Stealer的新型信息窃取器来攻击软件开发者。

Trend Micro在周一发布的分析报告中表示："该恶意软件旨在窃取敏感信息，包括开发者凭据和加密货币相关数据。受感染的开发环境也可能被滥用作为进入更广泛组织系统的接入点。"

该活动专门针对依赖VS Code和第三方扩展的软件开发团队的组织，以及那些能够访问生产系统、云资源或数字资产的组织。

值得注意的是，该攻击活动的详细信息最初由Koi Security在上个月首次记录，当时披露了三个VS Code扩展——BigBlack.bitcoin-black、BigBlack.codo-ai和BigBlack.mrbigblacktheme——这些扩展最终投放了一个恶意下载器DLL文件（"Lightshot.dll"），负责启动隐藏的PowerShell命令来获取并执行第二阶段载荷（"runtime.exe"）。

该可执行文件会解密主要窃取器载荷并将其直接注入到合法的Windows进程（"grpconv.exe"）的内存中，使其能够收集敏感数据并通过FTP以ZIP文件形式将数据窃取到远程服务器（"server09.mentality[.]cloud"）。恶意软件收集的信息包括：

剪贴板内容

已安装应用程序

加密货币钱包

运行进程

桌面截图

存储的Wi-Fi凭据

系统信息

Google Chrome和Microsoft Edge中存储的凭据和cookie

此外，该恶意软件还实现了检测分析和虚拟环境的保护措施，并采取步骤终止活跃的浏览器进程，以确保无缝的数据收集过程，防止在尝试提取cookie和凭据时出现任何潜在干扰。

这是通过命令行启动浏览器实现的，设置以下标志以检测和取证痕迹：

--headless=new，以无头模式运行

--disable-gpu，防止GPU加速

--no-sandbox，禁用浏览器安全沙盒

--disable-extensions，防止合法安全扩展干扰

--disable-logging，禁用浏览器日志生成

--silent-launch，抑制启动通知

--no-first-run，绕过初始设置对话框

--disable-popup-blocking，确保恶意内容能够执行

--window-position=-10000,-10000，将窗口定位到屏幕外

--window-size=1,1，将窗口最小化为1x1像素

Trend Micro表示："该DLL下载器创建了一个互斥对象，确保在任何给定时间只能运行一个恶意软件实例，防止在受感染主机上执行多个恶意软件实例。Evelyn Stealer攻击活动反映了针对开发者社区的攻击的操作化，开发者因其在软件开发生态系统中的重要作用而被视为高价值目标。"

这一披露恰逢两个新的基于Python的窃取器恶意软件家族的出现，分别称为MonetaStealer和SolyxImmortal，前者还能够攻击苹果macOS系统以实现全面数据窃取。

CYFIRMA表示："SolyxImmortal利用合法的系统API和广泛可用的第三方库来提取敏感用户数据，并将其窃取到攻击者控制的Discord webhooks。"

"其设计强调隐蔽性、可靠性和长期访问，而非快速执行或破坏性行为。通过完全在用户空间运行并依赖可信平台进行命令控制，该恶意软件降低了被立即检测的可能性，同时保持对用户活动的持续监视。"

Q&A

Q1：Evelyn Stealer恶意软件是如何攻击开发者的？

A：Evelyn Stealer通过武器化VS Code扩展生态系统来攻击开发者。攻击者创建恶意的VS Code扩展，这些扩展会投放恶意下载器DLL文件，然后启动PowerShell命令获取第二阶段载荷，最终将窃取器注入到合法Windows进程中窃取敏感信息。

Q2：Evelyn Stealer能窃取哪些类型的数据？

A：该恶意软件能够窃取多种敏感数据，包括剪贴板内容、已安装应用程序、加密货币钱包、运行进程、桌面截图、Wi-Fi凭据、系统信息，以及Google Chrome和Microsoft Edge浏览器中存储的凭据和cookie等信息。

Q3：开发者如何防范Evelyn Stealer这类攻击？

A：开发者应该谨慎安装VS Code扩展，特别是来自不知名开发者的扩展。定期检查已安装的扩展，及时更新安全软件，并注意系统异常行为。同时要特别关注涉及BigBlack开发者发布的扩展，避免安装可疑的第三方扩展。