Ανακαλύφθηκε μια δημοφιλής επέκταση προγράμματος επεξεργασίας κώδικα που παρατίθεται στο μητρώο Open VSX που φέρει κρυφό κακόβουλο λογισμικό που ανακτά και εκτελεί σιωπηλά έναν trojan απομακρυσμένης πρόσβασης (RAT) και έναν πλήρη infostealer απευθείας σε μηχανές προγραμματιστών χωρίς ορατό προειδοποιητικό σήμα.
Η επέκταση, γνωστή ως fast-draft κάτω από το KhangNghiem λογαριασμός εκδότη, είχε συγκεντρώσει πάνω από 26.000 λήψεις πριν φανεί τελικά η κακόβουλη δραστηριότητα που ήταν ενσωματωμένη σε πολλές συγκεκριμένες εκδόσεις.
Η επίθεση εκτυλίχθηκε μέσω ενός σκόπιμου μοτίβου που εξαπλώθηκε σε συγκεκριμένες εκδόσεις εκδόσεων. Οι εκδόσεις 0.10.89, 0.10.105, 0.10.106 και 0.10.112 η καθεμία περιείχε κώδικα που έφτανε σε ένα αποθετήριο GitHub που ελέγχεται από έναν παράγοντα απειλών που ονομάζεται BlokTrooper.
Η επέκταση άντλησε απευθείας σενάρια κελύφους για συγκεκριμένη πλατφόρμα raw.githubusercontent[.]com/BlokTrooper/extension και διοχέτευσε ολόκληρη την απόκριση απευθείας σε ένα κέλυφος συστήματος, το οποίο στη συνέχεια κατέβασε και εκτέλεσε ένα πλήρες φορτίο κακόβουλου λογισμικού δεύτερου σταδίου στο μηχάνημα-θύμα.
Άλλες εκδόσεις, συμπεριλαμβανομένων των 0.10.88, 0.10.111 και της πιο πρόσφατης έκδοσης 0.10.135, δεν έδειξαν τέτοια συμπεριφορά, υποδεικνύοντας έντονα έναν παραβιασμένο λογαριασμό εκδότη ή ένα κλεμμένο διακριτικό κυκλοφορίας και όχι έναν συντηρητή που απατεωνίστηκε επίτηδες.
Οι αναλυτές του Aikido εντόπισαν την παραβιασμένη επέκταση κατά τη διάρκεια μιας προσεκτικής, μη αυτόματης αναθεώρησης έκδοσης-έκδοσης του fast-draft γραμμή απελευθέρωσης.
Η ομάδα αποκάλυψε το ζήτημα στον συντηρητή της επέκτασης στις 12 Μαρτίου 2026, μέσω ενός δημόσιου τεύχους GitHub, αλλά η αναφορά δεν είχε λάβει καμία απάντηση κατά τη στιγμή της δημοσίευσης.
Ο αντίκτυπος αυτού του συμβιβασμού είναι ευρύς και σοβαρός. Κάθε προγραμματιστής που είχε εγκατεστημένη μία από τις κακόβουλες εκδόσεις παρέδιδε στον εισβολέα τον πλήρη έλεγχο του μηχανήματος χωρίς να το γνωρίζει.
Το ωφέλιμο φορτίο δεύτερου σταδίου εκτελούσε τέσσερις ανεξάρτητες ενότητες επίθεσης ταυτόχρονα, στοχεύοντας ταυτόχρονα τα διαπιστευτήρια του προγράμματος περιήγησης, τα δεδομένα πορτοφολιού κρυπτογράφησης, τα τοπικά αρχεία, τον πηγαίο κώδικα και τα περιεχόμενα του προχείρου.
Με περισσότερες από 26.594 καταγεγραμμένες λήψεις στο μητρώο Open VSX, η πιθανή έκθεση σε προγραμματιστές ανοιχτού κώδικα και ομάδες λογισμικού σε όλο τον κόσμο είναι πολύ σημαντική.
Ο ευρύτερος κίνδυνος εδώ είναι πώς το κακόβουλο λογισμικό κρύφτηκε μέσα σε ένα εργαλείο που ήδη εμπιστεύονται οι προγραμματιστές σε καθημερινή βάση. Οι επεκτάσεις επεξεργασίας εκτελούνται συνήθως με ευρείες άδειες συστήματος, καθιστώντας τις έναν εξαιρετικά ελκυστικό στόχο για επιθέσεις στην αλυσίδα εφοδιασμού.
Το εναλλασσόμενο μοτίβο καθαρής και κακόβουλης έκδοσης υποδηλώνει έντονα κάποιον με διακοπτόμενη πρόσβαση στον αγωγό έκδοσης του εκδότη, ένα σενάριο που η αυτοματοποιημένη σάρωση από μόνη της δεν μπορεί να εντοπίσει αξιόπιστα χωρίς ενδελεχή και προσεκτικό μη αυτόματο έλεγχο.
Μέσα στο πλαίσιο επίθεσης δεύτερου σταδίου
Μόλις εκτελεστεί το πρόγραμμα λήψης φλοιού, τράβηξε ένα αρχείο ZIP, το εξήγαγε σε έναν προσωρινό κατάλογο και ξεκίνησε τέσσερις αποσπασμένες διεργασίες Node.js, με κάθε μία να χειρίζεται ένα ξεχωριστό μέρος της συνολικής επίθεσης.
Η πρώτη μονάδα συνδέθηκε ξανά στον διακομιστή εντολών και ελέγχου στο 195[.]201[.]104[.]53 πάνω από το λιμάνι 6931 χρησιμοποιώντας το Socket.IO, δίνοντας στον εισβολέα ζωντανό έλεγχο της κίνησης του ποντικιού, της εισαγωγής πληκτρολογίου, των στιγμιότυπων οθόνης και των αναγνώσεων του προχείρου.
Η δεύτερη λειτουργική μονάδα σάρωσε τα προφίλ του προγράμματος περιήγησης σε Chrome, Edge, Brave και Opera σε Windows, macOS και Linux, κλέβοντας αποθηκευμένους κωδικούς πρόσβασης και δεδομένα ιστού.
Στοχεύτηκε επίσης σε 25 επεκτάσεις πορτοφολιού κρυπτονομισμάτων, συμπεριλαμβανομένων των MetaMask, Phantom, Coinbase Wallet και Trust Wallet, και ανέβασε τα δεδομένα που συλλέχθηκαν στη θύρα 6936 στον ίδιο διακομιστή C2
Η τρίτη ενότητα σάρωνε αναδρομικά τον αρχικό κατάλογο για έγγραφα, αρχεία περιβάλλοντος, ιδιωτικά κλειδιά, ιστορικό κελύφους και πηγαίο κώδικα.
Εσκεμμένα παρέλειψε φακέλους όπως .cursor, .claudeκαι .windsurfδείχνοντας ότι ο εισβολέας στόχευε συγκεκριμένα περιβάλλοντα προγραμματιστών που υποβοηθούνται από AI υψηλής αξίας.
Η τέταρτη ενότητα έκανε δημοσκόπηση στο πρόχειρο κάθε λίγα δευτερόλεπτα και έστελνε το καταγεγραμμένο περιεχόμενο — συμπεριλαμβανομένων φράσεων αρχικού περιεχομένου, κλειδιών API και κωδικών πρόσβασης — κατευθείαν στο /api/service/makelog στον διακομιστή C2
Οι προγραμματιστές θα πρέπει να ελέγξουν αμέσως για τυχόν εγκατεστημένη έκδοση του fast-draft ταιριάζει με τα 0.10.89, 0.10.105, 0.10.106 ή 0.10.112 και αφαιρέστε το χωρίς καθυστέρηση.
Όλα τα αποθηκευμένα διαπιστευτήρια, οι βασικές φράσεις πορτοφολιού κρυπτονομισμάτων και τα κλειδιά API σε υπολογιστές που επηρεάζονται θα πρέπει να εναλλάσσονται αμέσως.
Οι ομάδες δικτύου θα πρέπει να αποκλείουν και να παρακολουθούν όλη την εξερχόμενη κίνηση προς 195[.]201[.]104[.]53 στις θύρες 6931, 6936 και 6939 και επισημάνετε τυχόν αιτήματα προς raw.githubusercontent[.]com/BlokTrooper στα αρχεία καταγραφής δικτύου.
