Evelyn窃取器恶意软件滥用VS Code扩展窃取开发者凭据和加密货币
创始人
2026-01-21 21:28:03
0

网络安全研究人员披露了一项恶意软件攻击活动的详细信息,该活动通过武器化微软Visual Studio Code(VS Code)扩展生态系统,使用名为Evelyn Stealer的新型信息窃取器来攻击软件开发者。

Trend Micro在周一发布的分析报告中表示:"该恶意软件旨在窃取敏感信息,包括开发者凭据和加密货币相关数据。受感染的开发环境也可能被滥用作为进入更广泛组织系统的接入点。"

该活动专门针对依赖VS Code和第三方扩展的软件开发团队的组织,以及那些能够访问生产系统、云资源或数字资产的组织。

值得注意的是,该攻击活动的详细信息最初由Koi Security在上个月首次记录,当时披露了三个VS Code扩展——BigBlack.bitcoin-black、BigBlack.codo-ai和BigBlack.mrbigblacktheme——这些扩展最终投放了一个恶意下载器DLL文件("Lightshot.dll"),负责启动隐藏的PowerShell命令来获取并执行第二阶段载荷("runtime.exe")。

可执行文件会解密主要窃取器载荷并将其直接注入到合法的Windows进程("grpconv.exe")的内存中,使其能够收集敏感数据并通过FTP以ZIP文件形式将数据窃取到远程服务器("server09.mentality[.]cloud")。恶意软件收集的信息包括:

剪贴板内容

已安装应用程序

加密货币钱包

运行进程

桌面截图

存储的Wi-Fi凭据

系统信息

Google Chrome和Microsoft Edge中存储的凭据和cookie

此外,该恶意软件还实现了检测分析和虚拟环境的保护措施,并采取步骤终止活跃的浏览器进程,以确保无缝的数据收集过程,防止在尝试提取cookie和凭据时出现任何潜在干扰。

这是通过命令行启动浏览器实现的,设置以下标志以检测和取证痕迹:

--headless=new,以无头模式运行

--disable-gpu,防止GPU加速

--no-sandbox,禁用浏览器安全沙盒

--disable-extensions,防止合法安全扩展干扰

--disable-logging,禁用浏览器日志生成

--silent-launch,抑制启动通知

--no-first-run,绕过初始设置对话框

--disable-popup-blocking,确保恶意内容能够执行

--window-position=-10000,-10000,将窗口定位到屏幕外

--window-size=1,1,将窗口最小化为1x1像素

Trend Micro表示:"该DLL下载器创建了一个互斥对象,确保在任何给定时间只能运行一个恶意软件实例,防止在受感染主机上执行多个恶意软件实例。Evelyn Stealer攻击活动反映了针对开发者社区的攻击的操作化,开发者因其在软件开发生态系统中的重要作用而被视为高价值目标。"

这一披露恰逢两个新的基于Python的窃取器恶意软件家族的出现,分别称为MonetaStealer和SolyxImmortal,前者还能够攻击苹果macOS系统以实现全面数据窃取。

CYFIRMA表示:"SolyxImmortal利用合法的系统API和广泛可用的第三方库来提取敏感用户数据,并将其窃取到攻击者控制的Discordwebhooks。"

"其设计强调隐蔽性、可靠性和长期访问,而非快速执行或破坏性行为。通过完全在用户空间运行并依赖可信平台进行命令控制,该恶意软件降低了被立即检测的可能性,同时保持对用户活动的持续监视。"

Q&A

Q1:Evelyn Stealer恶意软件是如何攻击开发者的?

A:Evelyn Stealer通过武器化VS Code扩展生态系统来攻击开发者。攻击者创建恶意的VS Code扩展,这些扩展会投放恶意下载器DLL文件,然后启动PowerShell命令获取第二阶段载荷,最终将窃取器注入到合法Windows进程中窃取敏感信息。

Q2:Evelyn Stealer能窃取哪些类型的数据?

A:该恶意软件能够窃取多种敏感数据,包括剪贴板内容、已安装应用程序、加密货币钱包、运行进程、桌面截图、Wi-Fi凭据、系统信息,以及Google Chrome和Microsoft Edge浏览器中存储的凭据和cookie等信息。

Q3:开发者如何防范Evelyn Stealer这类攻击?

A:开发者应该谨慎安装VS Code扩展,特别是来自不知名开发者的扩展。定期检查已安装的扩展,及时更新安全软件,并注意系统异常行为。同时要特别关注涉及BigBlack开发者发布的扩展,避免安装可疑的第三方扩展。

相关内容

中国金融投资管理(0060...
智通财经讯,中国金融投资管理(00605)发布公告,于2026年7...
2026-07-11 06:18:49
江苏金融保障“三夏”生产 ...
当前正值夏种、夏管关键阶段,江苏省金融监管局统筹指导全省银行保险机...
2026-07-11 06:18:18
如何获取各类银元银币相关的...
老藏品变现的常见需求场景 近年来,随着老物件收藏热度的上升,不少家...
2026-07-11 06:17:15
支付宝花呗崩了
7月8日晚,有用户在社交媒体上称在支付宝花呗还款时发现还款页面无法...
2026-07-11 06:16:40
碰一下升级:支付宝强攻线下...
刷短视频、聊AI大模型、语音唤醒智能助手,当行业所有人都挤在线上屏...
2026-07-11 06:16:26
股市必读:7月9日平安银行...
截至2026年7月9日收盘,平安银行(000001)报收于10.4...
2026-07-11 06:15:53
东亚银行(00023.HK...
证券之星消息,7月9日南向资金减持1.08万股东亚银行(00023...
2026-07-11 06:15:08
徽商银行(03698.HK...
证券之星消息,7月9日南向资金增持179.0万股徽商银行(0369...
2026-07-11 06:13:21
股市必读:兴业银行(601...
截至2026年7月9日收盘,兴业银行(601166)报收于17.1...
2026-07-11 06:12:38

热门资讯

香港银行间同业拆借利率多数上行 每经AI快讯,7月9日,香港银行间同业拆借利率多数上行,其中,HIBOR隔夜报2.6512%,较前一...
供应放量收益承压 美元理财兑付... 上证报中国证券网讯(记者 徐潇潇)随着人民币汇率步入升值通道,一批去年高位换汇购入美元理财的投资者正...
美联储官宣五大改革工作组领导阵... 美联储主席凯文·沃什(Kevin Warsh)推动的央行改革迎来关键进展。 当地时间7月9日,美联储...
法国央行将第二季度经济增长预测... 每经AI快讯,7月10日,法国央行将第二季度经济增长预测修订为0.2%,此前预计为零增长。 每日经济...
上海尔邵餐饮管理有限公司成立,... 天眼查显示,近日,上海尔邵餐饮管理有限公司成立,法定代表人为罗菊英,注册资本300万人民币,上海瑞淳...
霸州市汐宸家居用品厂(个体工商... 天眼查App显示,近日,霸州市汐宸家居用品厂(个体工商户)成立,法定代表人为刘锐,注册资本2万人民币...
紫金黄金国际(02259.HK... 证券之星消息,7月9日南向资金增持128.48万股紫金黄金国际(02259.HK)。近5个交易日中,...
赤峰黄金(06693.HK):... 证券之星消息,7月9日南向资金减持122.06万股赤峰黄金(06693.HK)。近5个交易日中,获南...
COMEX黄金期货收涨1.23... 每经AI快讯,7月10日,COMEX黄金期货收涨1.23%,报4132.6美元/盎司;COMEX白银...
探索科技金融新路径,湖北累计发... 7月8日,证券时报记者从中国人民银行湖北省分行了解到,截至2026年4月,湖北省科技贷款同比增长19...