Bitdefender ha scoperto una campagna attiva che prende di mira gli sviluppatori software tramite una falsa estensione, usando la blockchain per distribuire il malware e sfuggire al rilevamento.
Autore: Redazione SecurityOpenLab
Gli sviluppatori software sono diventati un bersaglio privilegiato per gli attaccanti: rispetto a un utente comune, dispongono di accessi a sistemi critici, chiavi API, credenziali per ambienti cloud e token di accesso ai repository di codice. Compromettere la macchina di uno sviluppatore equivale spesso a ottenere un ingresso nell'intera infrastruttura dell'azienda per cui lavora. I ricercatori di Bitdefender hanno individuato una campagna attiva che sfrutta proprio questa superficie di attacco, con un metodo che si distingue per la sofisticazione con cui evita la detection.
Il punto di partenza è un'estensione per Windsurf, un ambiente di sviluppo integrato (IDE) basato sull'intelligenza artificiale che è molto popolare tra gli sviluppatori. Le estensioni sono componenti aggiuntivi che ampliano le funzionalità dell'IDE, e la loro installazione è una pratica normale e quotidiana in questo tipo di ambienti. L'indagine è partita da un alert generato dall'EDR di Bitdefender su una workstation aziendale, che segnalava comportamenti sospetti: l'utente aveva installato un'estensione credendola legittima.
L'estensione malevola si presentava come uno strumento di supporto per il linguaggio di programmazione R e simulava un'estensione reale e molto usata che si chiama REditorSupport. Il nome scelto dagli attaccanti, reditorsupporter.r-vscode-2.8.8-universal, è stato deliberatamente pensato per somigliare il più possibile all'originale e ingannare uno sviluppatore che la cerchi nel registro delle estensioni.
Il meccanismo ha funzionato perché Windsurf, come altri IDE derivati da VSCode, non può accedere al marketplace ufficiale Microsoft per ragioni di licenza; al suo posto utilizza OpenVSX, un registro alternativo open source dove i controlli di sicurezza sono strutturalmente meno stringenti, e dove chiunque può pubblicare estensioni con nomi simili a quelli di strumenti legittimi.
Una volta installata, l'estensione inganna i sistemi perché il codice malevolo è cifrato e si attiva soltanto dopo l'installazione. Prima di procedere, il malware esegue anche una verifica geografica: se il sistema si trova in Russia l’attacco si blocca e non causa alcun danno. Questa precauzione agevola l'attribuzione verso un gruppo di matrice russa.
Il malware deve ricevere istruzioni e scaricare i componenti necessari per operare, senza essere individuato e bloccato. Per questo gli attaccanti hanno usato la blockchain di Solana come canale di comunicazione. Nello schema attuato, il malware interroga le transazioni sulla blockchain di Solana e recupera dati nascosti nei metadati delle transazioni stesse. Si tratta di frammenti di codice cifrati con AES e codificati in Base64, che il malware riassembla ed esegue dinamicamente sulla macchina della vittima. Questo escamotage ostacola fattivamente il blocco dell'infrastruttura e rende l'analisi del codice sostanzialmente inefficace.
Tutto questo è reso possibile da una caratteristica strutturale di Windsurf: le estensioni girano in un ambiente NodeJS, un runtime JavaScript molto diffuso, che in questo contesto non è isolato dal resto del sistema operativo. Il malware ottiene pertanto accesso diretto al filesystem e alla rete della macchina, con la possibilità di caricare moduli aggiuntivi senza restrizioni.
Inoltre, per sopravvivere ai riavvii del sistema senza farsi notare, il malware crea un task pianificato nascosto di Windows che lo rilancia automaticamente a ogni accesso, senza lasciare tracce visibili tra le applicazioni attive. Una volta stabilita la persistenza, l'obiettivo finale è il furto di dati dai browser basati su Chromium: password salvate, cookie di sessione e altre credenziali vengono estratti tramite moduli nativi che interagiscono direttamente con le strutture interne del browser.
Questa campagna si inserisce in un pattern più ampio in cui gli attaccanti abusano degli strumenti che gli sviluppatori usano quotidianamente e considerano affidabili. In particolare, gli ecosistemi di estensioni per IDE sono un canale di accesso interessante perché godono di una governance spesso meno rigida rispetto al software enterprise, e perché installare nuovi strumenti è una pratica talmente normale da non generare sospetti.
Bitdefender raccomanda di verificare le estensioni prima dell'installazione, limitare i permessi concessi agli strumenti di sviluppo e monitorare gli ambienti di sviluppo per attività anomale. La telemetria endpoint è in questo caso particolarmente utile perché il codice malevolo gira all'interno di processi che il sistema considera affidabili.