.

su执行了一个PowerShell脚本，以下载额外的恶意负载。 远程PowerShell脚本检查是否已安装ScreenConnect，如果未安装，则启动另一个脚本进行安装。之后，攻击者获得了对开发人员计算机的完全远程访问权限。 他们使用ScreenConnect上传并执行VBScript文件，这些文件用于将其他有效载荷下载到设备上。 最终的攻击脚本从archive【.】org下载了一个恶意可执行文件，其中包含一个名为VMDetector的加载器，该加载器安装了Quasar RAT（能够在设备上执行命令）和PureLogs stealer（从网络浏览器窃取凭据和身份验证Cookie，以及加密货币钱包数据）。 根据卡巴斯基实验室的数据，Open VSX显示该扩展在7月2日被删除之前已被下载54000次。然而，研究人员认为，安装数量被人为夸大，以使其看起来合法。 第二天，攻击者发布了一个几乎相同的版本，名为solidity，将此扩展的安装数量增加到近200万。 攻击者绕过算法并大幅夸大安装数量，从而使其扩展在Open VSX搜索结果中的排名高于合法扩展，这促使受害者安装恶意扩展，将其误认为合法的one。 研究人员还在微软Visual Studio代码存储中发现了类似的扩展，名为solaibot、eth和blankebesxstnion，它们还执行PowerShell脚本来安装ScreenConnect和信息窃取程序。 恶意开源软件包继续对加密行业构成严重威胁，并且仍然是攻击者获利的一种有吸引力的方式，因为今天的许多项目都依赖开源工具。