Hace 23 días | Por Find a unaaldia.hispasec.com
Publicado hace 23 días por Find a unaaldia.hispasec.com

El ataque puede realizarse tanto desde una versión instalada como portable de Visual Studio Code. Al ejecutar el comando code.exe tunnel, el atacante recibe un enlace que le requiere iniciar sesión en GitHub con su propia cuenta. Una vez hecho esto, el atacante es redirigido a un entorno web del editor de texto que está conectado a la máquina infectada, lo que le permitiría ejecutar comandos en dicha máquina. Mustang Panda utilizó este mecanismo para enviar malware, realizar tareas de reconocimiento y exfiltrar datos sensibles

Comentarios

Armagnac

"The Visual Studio Code Remote - Tunnels extension lets you connect to a remote machine, like a desktop PC or virtual machine (VM), via a secure tunnel. You can connect to that machine from a VS Code client anywhere, without the requirement of SSH.

Tunneling securely transmits data from one network to another via Microsoft dev tunnels."

No conocía esto, pero bueno, lo de pasar de una tecnología standard y madura como ssh para usar una tecnología propia de MS...en fin, no parece una buena idea.

A

Que vergüenza si han llegado a revisar mi código

Ovlak

No se explica nada bien. Entiendo que, para que esto funcione, la "víctima" debe tener habilitada la extensión de túneles remotos o arrancar el Code con el parámetro "tunnel", por lo que se necesita explotar alguna vulnerabilidad previa para que esto sea así (y que no haya un firewall de por medio).

H

#1 Yes, hace falta ejecución por alguna vía, ya sea para dejar el binario o para lanzarlo. En unaaldia tampoco suelen explayarse en detalles. Por ahí he visto esto (del 2023, ya un tiempo): https://medium.com/@truvis.thornton/visual-studio-code-embedded-reverse-shell-and-how-to-block-create-sentinel-detection-and-add-e864ebafaf6d

Y tampoco te dicen como lanzarlo, pero seguro que alguna idea se te ocurre

Cyberbob

Está fatal explicado. Tal y como dices lo de habilitar el túnel es el segundo paso, primero entiendo que tienen primero que tener acceso de alguna manera. Pero si hemos entendido más o menos lo mismo ¿por qué se centran en VS Code y no en la vulnerabilidad original?