Фахівці з кібербезпеки виявили масштабну кампанію з розповсюдження шпигунського програмного забезпечення, яке маскувалося під популярні розширення для середовища розробки Visual Studio Code, що імітували функціональність ChatGPT. За попередніми оцінками, внаслідок цієї кампанії могли бути скомпрометовані дані понад 1,5 мільйона розробників у всьому світі.
Повідомляє видання GALERA.NEWS, посилаючись на Сyber News.
Суть інциденту
Йдеться про два розширення для VS Code, які позиціонувалися як AI-асистенти для програмування та активно використовували бренд ChatGPT у назві й описі. Зокрема, це розширення «ChatGPT — 中文版» та «ChatGPT — ChatMoss». Вони були доступні в офіційному маркетплейсі Visual Studio Code, що значно підвищувало рівень довіри з боку користувачів.
Зовні розширення виконували заявлені функції — надавали підказки для написання коду, генерували фрагменти програм та відповідали на запити розробників. Водночас усередині них був вбудований прихований шкідливий код, призначений для несанкціонованого збору даних.
Масштаби поширення
За даними дослідників, одне з розширень було встановлено приблизно 1,35 мільйона разів, інше — понад 150 тисяч разів. Загальна кількість інсталяцій перевищила 1,5 мільйона, що робить цей інцидент одним із найбільших випадків компрометації середовищ розробки за останні роки.
Особливу небезпеку становить той факт, що ці розширення протягом тривалого часу відображалися серед перших результатів пошуку за запитом «ChatGPT» у VS Code Marketplace, що сприяло їх подальшому розповсюдженню.
Які дані збиралися
Як стало відомо, шкідливий код працював у фоновому режимі та автоматично передавав на віддалені сервери інформацію з робочого середовища користувачів. Зокрема, йшлося про:
- вміст файлів, відкритих у редакторі коду;
- фрагменти програмного коду та конфігураційні файли;
- потенційно чутливі дані, зокрема токени доступу, ключі API та внутрішні налаштування проєктів.
Перед передаванням інформація кодувалася з використанням Base64, що ускладнювало виявлення витоку стандартними засобами моніторингу. Окрім того, розширення підключали сторонні аналітичні сервіси, які могли використовуватися для створення профілів користувачів.
Потенційні наслідки
Компрометація даних розробників може мати серйозні наслідки як для окремих фахівців, так і для компаній, у яких вони працюють. Витік вихідного коду, конфігурацій або облікових даних здатен призвести до:
- несанкціонованого доступу до корпоративних систем;
- компрометації комерційних або державних проєктів;
- подальших атак, зокрема через ланцюги постачання програмного забезпечення (supply chain attacks).
Експерти зазначають, що такі інциденти демонструють зростання інтересу зловмисників до інструментів, які використовуються безпосередньо в процесі розробки програмного забезпечення.
