网络安全研究人员披露了一项恶意软件攻击活动的详细信息,该活动通过武器化微软Visual Studio Code(VS Code)扩展生态系统,使用名为Evelyn Stealer的新型信息窃取器来攻击软件开发者。
Trend Micro在周一发布的分析报告中表示:"该恶意软件旨在窃取敏感信息,包括开发者凭据和加密货币相关数据。受感染的开发环境也可能被滥用作为进入更广泛组织系统的接入点。"
该活动专门针对依赖VS Code和第三方扩展的软件开发团队的组织,以及那些能够访问生产系统、云资源或数字资产的组织。
值得注意的是,该攻击活动的详细信息最初由Koi Security在上个月首次记录,当时披露了三个VS Code扩展——BigBlack.bitcoin-black、BigBlack.codo-ai和BigBlack.mrbigblacktheme——这些扩展最终投放了一个恶意下载器DLL文件("Lightshot.dll"),负责启动隐藏的PowerShell命令来获取并执行第二阶段载荷("runtime.exe")。
该可执行文件会解密主要窃取器载荷并将其直接注入到合法的Windows进程("grpconv.exe")的内存中,使其能够收集敏感数据并通过FTP以ZIP文件形式将数据窃取到远程服务器("server09.mentality[.]cloud")。恶意软件收集的信息包括:
剪贴板内容
已安装应用程序
加密货币钱包
运行进程
桌面截图
存储的Wi-Fi凭据
系统信息
Google Chrome和Microsoft Edge中存储的凭据和cookie
此外,该恶意软件还实现了检测分析和虚拟环境的保护措施,并采取步骤终止活跃的浏览器进程,以确保无缝的数据收集过程,防止在尝试提取cookie和凭据时出现任何潜在干扰。
这是通过命令行启动浏览器实现的,设置以下标志以检测和取证痕迹:
--headless=new,以无头模式运行
--disable-gpu,防止GPU加速
--no-sandbox,禁用浏览器安全沙盒
--disable-extensions,防止合法安全扩展干扰
--disable-logging,禁用浏览器日志生成
--silent-launch,抑制启动通知
--no-first-run,绕过初始设置对话框
--disable-popup-blocking,确保恶意内容能够执行
--window-position=-10000,-10000,将窗口定位到屏幕外
--window-size=1,1,将窗口最小化为1x1像素
Trend Micro表示:"该DLL下载器创建了一个互斥对象,确保在任何给定时间只能运行一个恶意软件实例,防止在受感染主机上执行多个恶意软件实例。Evelyn Stealer攻击活动反映了针对开发者社区的攻击的操作化,开发者因其在软件开发生态系统中的重要作用而被视为高价值目标。"
这一披露恰逢两个新的基于Python的窃取器恶意软件家族的出现,分别称为MonetaStealer和SolyxImmortal,前者还能够攻击苹果macOS系统以实现全面数据窃取。
CYFIRMA表示:"SolyxImmortal利用合法的系统API和广泛可用的第三方库来提取敏感用户数据,并将其窃取到攻击者控制的Discord webhooks。"
"其设计强调隐蔽性、可靠性和长期访问,而非快速执行或破坏性行为。通过完全在用户空间运行并依赖可信平台进行命令控制,该恶意软件降低了被立即检测的可能性,同时保持对用户活动的持续监视。"
Q&A
Q1:Evelyn Stealer恶意软件是如何攻击开发者的?
A:Evelyn Stealer通过武器化VS Code扩展生态系统来攻击开发者。攻击者创建恶意的VS Code扩展,这些扩展会投放恶意下载器DLL文件,然后启动PowerShell命令获取第二阶段载荷,最终将窃取器注入到合法Windows进程中窃取敏感信息。
Q2:Evelyn Stealer能窃取哪些类型的数据?
A:该恶意软件能够窃取多种敏感数据,包括剪贴板内容、已安装应用程序、加密货币钱包、运行进程、桌面截图、Wi-Fi凭据、系统信息,以及Google Chrome和Microsoft Edge浏览器中存储的凭据和cookie等信息。
Q3:开发者如何防范Evelyn Stealer这类攻击?
A:开发者应该谨慎安装VS Code扩展,特别是来自不知名开发者的扩展。定期检查已安装的扩展,及时更新安全软件,并注意系统异常行为。同时要特别关注涉及BigBlack开发者发布的扩展,避免安装可疑的第三方扩展。
好文章,需要你的鼓励
Waymo近日发布软件更新,对旗下约4000辆自动驾驶车队实施召回,以帮助车辆规避积水道路。美国国家公路交通安全管理局(NHTSA)指出,此前Waymo机器人出租车在遭遇无法通行的积水路段时,仅减速而未完全停车。此次召回涵盖第五代和第六代自动驾驶系统车辆,共计3791辆。Waymo表示正在完善软件防护措施,并已限制车辆在极端天气及易发洪涝区域的运营。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
路面坑洞每年给城市造成数百万美元损失。车队管理公司Samsara推出名为"Ground Intelligence"的AI解决方案,通过已安装在数百万辆商用卡车上的摄像头,自动识别并追踪坑洞的位置与劣化程度。该系统以仪表盘形式呈现,可主动向城市管理者推送预警信息,将被动响应转变为主动规划。目前,芝加哥已成为其新客户。未来还将扩展至涂鸦、损坏护栏等城市基础设施监测。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。