la sorpresa malwarica della domenica (l’attacco alla supply chain di OpenVSX mi fa passare brutti minuti)

Dopo i vari complotti ai miei danni… e prima gli scherzi degli spiriti, e poi i malware autunnali che colpiscono il mio corpo, e pure tutte le cose pericolosamente problematiche per essere anche solo scritte… Oggi pomeriggio mi è arrivata un’altra sorpresa: i fottuti virus sul PC. (E no, non è perché sto continuando ad usare Windows 10 una decina di giorni dopo la data di fine vita… non c’è nessuna falla nel sistema operativo di mezzo, bensì, anche stavolta, solo i potery forty.) 😰

Ho semplicemente aperto VSCodium per fare la mia programmazione, perché sennò il fine settimana non sono contenta, lo sappiamo già… ed è arrivato un popup di Windows Defender, che si lamentava di un file JavaScript nella cartella di un’estensione installata dell’IDE. Purtroppo, cercandolo online, scopro che il merdone ha probabilmente ragione: il file è probabilmente infetto (non lo so con certezza, perché non volevo sbloccarlo col rischio che venisse eseguito, quindi l’ho fatto sparire)… perché, a quanto sembra, c’è stato di recente un attacco alla filiera (o “supply chain“, come piace dirlo agli altri) che ha colpito alcune estensioni VSCode… e zio cane. 😐

I link interessanti sono su memos.octt.eu.org/m/GdeyW5UqDV…, e stavolta sono forse interessanti davvero, perché il malware, “GlassWorm“, è una cosa assurda, a livello tecnico… Usa la blockchain di Solana per salvare i riferimenti allo stage 2, probabilmente per essere indistruttibile, perché se qualcuno gli leva di mezzo il server di comando e controllo questi possono sempre aggiornare il payload sulla blockchain e avere tutto ancora funzionante, una roba da pazzi… e poi, il codice malevolo nascosto nei file JavaScript è codificato con caratteri Unicode che appaiono vuoti, ma ovviamente vengono decodificati in quello che serve, e bleah. Ma non è questo il punto… 🤥

In pratica, quello che è successo — e non capisco perché lo scopro solo ora, e non mi sia invece arrivata indirettamente la notizia pochi giorni fa — è che questo malware prende di mira le estensioni per VSCode — principalmente quelle ospitate su OpenVSX, ma si sa già di almeno una infetta anche sullo store di Microsoft — per replicarsi e diffondersi sui PC degli sviluppatori di software, e da lì fare cose brutte… Innanzitutto rubare i dati di varie estensioni browser di criptovalute (e vabbè che se tieni le criptovalute sul PC anziché sul telefono stai proprio chiedendo che ti vengano rubate), perché evidentemente questi stronzi non hanno fantasia… poi credenziali Git, NPM, OpenVSX, questa roba qui, appunto per spargere codice malevolo… e, si dice, installare varie schifezze persistenti. 😭

Non so se sia più ironico il fatto che non ho praticamente mai beccato malware sui PC in anni e anni di pirateria e cose particolari, eppure mi deve succedere oggi in un modo che non potevo ragionevolmente prevenire — anche perché io non installo estensioni troppo ad minchiam, nel possibile faccio attenzione, ma a volte tocca installare il pacchetto sfigato gestito da qualcuno a caso non malevolo, ma che suo malgrado si è fatto bucare — per il solo peccato di scrivere codice ed usare VSCodium per farlo… Oppure, se la cosa che veramente mi deve far incazzare è che le estensioni bucate sono per ora ancora una quindicina, eppure proprio una (1) è capitato che l’avessi, quindi che combinazione… Ma è tutto così fottutamente assurdo. 💥

Per fortuna, (anche se non so quanto devo davvero fidarmi di un simile risultato, e mi chiedo se forse non dovrei prendere provvedimenti più forti; ma se devo cambiare le password impazzisco, e idem se devo reinstallare il sistema, quindi spero di no…) da diverse scansioni complete, una con Defender ed una con Kaspersky, esclusi i file dell’estensione infetta che poi ho giustamente anche disinstallato da VSCodium, il PC risulta pulito; e, anche controllando a manina i servizi di Windows, le operazioni programmate all’avvio, e le chiavi di registro riportate negli articoli sopra, non ho trovato nulla di strano, così come non vedo richieste agli indirizzi IP noti di questo merdone attraverso WireShark. 🙄

Quindi… è possibile che Defender abbia bloccato il codice malevolo in un momento in cui si, l’IDE ha letto il file che lo conteneva, ma non effettivamente eseguito, perché questa estensione (sissel.shopify-liquid@4.0.1) magari non era una di quelle che gira a vuoto, e io in cosa stavo lavorando oggi (e ieri) non avevo niente che causasse l’effettivo caricamento dell’estensione? Mi verrebbe da chiedermi perché minchia la rilevazione sia avvenuta solo oggi, visto che l’estensione è bucata da apparentemente una bella settimana, e quindi dovevo avere in teoria già minimo da ieri la versione schifosa, visto che VSCode maledetto aggiorna in automatico le estensioni senza dire niente… ma evidentemente Microsoft ha il culo comodo nell’aggiornare le definizioni. 😤

Allora, in sostanza, spero vivamente che questo coglione marcio non sia riuscito ad installarmi sul computer RAT, HVNC, o proxy per i propri usi schifosi, altrimenti sono rogne… Se avete consigli, a parte l’idea di smettere di programmare software, vi ringrazio in anticipo; per ora ho disattivato l’aggiornamento automatico di tutte le estensioni, così, semmai qualcun’altra viene fottuta, io non lo sarò. Però, a parte gli scherzi, viviamo veramente in un mondo di merda se i malware non sono più “vinci la partita a carte se non vuoi che ti cancello il disco“, e invece sono “mi nascondo per fotterti”… e se per prenderli non serve fare nulla di incauto, ma basta appena esistere ed usare software scritto da altri!!! 😩

#GlassWorm #malware #OpenVSX #virus #VSCode