У VSCode Marketplace було виявлено відразу два шкідливих розширення, які приховували в собі здирницьке ПЗ. Одне з них з’явилося в магазині Microsoft ще в жовтні минулого року і довго залишалося непоміченим.

Розширення ahban.shiba і ahban.cychelloworld були завантажені сім і вісім разів відповідно, перш ніж їх все ж видалили з магазину. При цьому розширення ahban.cychelloworld було завантажено в магазин ще 27 жовтня 2024 року, а ahban.shiba – 17 лютого 2025 року, минаючи всі перевірки безпеки.

Малварь помітили експерти компанії ReversingLabs, які пишуть, що обидва розширення містили PowerShell-команду, яка завантажувала і виконувала інший PowerShell-скрипт із віддаленого сервера Amazon AWS. Цей скрипт відповідав за розгортання здирницького ПЗ.

За словами дослідників, сам вимагач вочевидь перебуває у стадії розробки або тестування, оскільки поки що він шифрує тільки файли в папці C:\users\%username%\Desktop\testShiba і не чіпає інші.

Після закінчення шифрування скрипт виводить на екран попередження: «Ваші файли зашифровані. Щоб відновити їх, заплатіть 1 ShibaCoin на ShibaWallet». Жодних додаткових інструкцій та інших вимог немає, на відміну від класичних здирницьких атак.

«Ми повідомили Microsoft про ahban.cychelloworld за допомогою автоматичного звіту, згенерованого нашим сканером. Можливо, через невелику кількість установок цього розширення Microsoft не надала повідомленню пріоритетного значення», – каже експерт.

Експерти зазначають, що обидва розширення завантажували і виконували віддалені скрипти PowerShell, проте зуміли залишитися непоміченими протягом кількох місяців, що явно свідчить про серйозні недоліки в процесах перевірки Microsoft.