Hai extension độc hại trên VSCode Marketplace vừa bị phát hiện triển khai mã ransomware đang trong giai đoạn phát triển, làm lộ ra những lỗ hổng trong quy trình kiểm duyệt của Microsoft. Hai extension này, “ahban.shiba” và “ahban.cychelloworld”, đã tồn tại trên nền tảng trong nhiều tháng trước khi bị gỡ bỏ, với tổng số lượt tải xuống chỉ hơn 10 lần.
Theo báo cáo từ ReversingLabs, các extension này chứa một đoạn PowerShell command, có khả năng tải xuống và thực thi một tập lệnh PowerShell khác từ máy chủ Amazon AWS. Mặc dù ransomware vẫn đang trong giai đoạn thử nghiệm, nó đã được lập trình để mã hóa tệp trong một thư mục cụ thể trên máy tính nạn nhân. Sau khi mã hóa, một cảnh báo Windows sẽ xuất hiện yêu cầu thanh toán bằng ShibaCoin, nhưng không có hướng dẫn chi tiết như các cuộc tấn công ransomware thông thường.
Microsoft đã gỡ bỏ hai extension này sau khi nhận được cảnh báo từ ReversingLabs. Tuy nhiên, nhà nghiên cứu bảo mật Italy Kruk của ExtensionTotal cho biết nhóm của ông đã phát hiện mối đe dọa từ trước và cảnh báo Microsoft nhưng không nhận được phản hồi. Đáng chú ý, extension ahban.cychelloworld ban đầu không chứa mã độc, nhưng trong bản cập nhật 0.0.2, mã ransomware đã được thêm vào và vẫn được Microsoft chấp thuận. Extension này sau đó tiếp tục có 5 bản cập nhật khác, tất cả đều chứa mã độc và vẫn vượt qua vòng kiểm duyệt.
Sự việc này cho thấy Microsoft đã để lọt ransomware tiềm ẩn trong gần 4 tháng, trong khi trước đó công ty lại hành động quá nhanh khi gỡ bỏ các VSCode themes được sử dụng bởi 9 triệu người dùng chỉ vì nghi ngờ mã nguồn bị làm rối (obfuscated code). Sau đó, Microsoft đã phải xin lỗi vì quyết định sai lầm này và cam kết cải thiện quy trình kiểm duyệt để tránh các sự cố tương tự trong tương lai.
