近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现Evelyn Stealer恶意软件持续活跃,其主要攻击目标为开发者群体,可能导敏感信息泄露、系统受控等风险。
Evelyn Stealer是一种针对开发者的信息窃取恶意程序,它借助Visual Studio Code(VS Code)恶意扩展进行传播。当受害者安装了伪装成实用工具的VS Code恶意扩展后,该扩展会释放出伪造的Lightshot.dll组件。在用户使用正版截图工具Lightshot.exe时,此组件被加载执行,进而触发隐藏的PowerShell命令,该命令从远程域名拉取名为iknowyou.model的文件,将其另存为runtime.exe并运行。最终,恶意程序会在设备AppData目录创建Evelyn文件夹,向Edge/Chrome浏览器注入DLL,完成Evelyn Stealer窃取程序的部署。一旦部署成功,该恶意软件能够窃取浏览器密码、Cookie、加密货币钱包、即时通讯记录、VPN配置文件等敏感信息,并将这些数据压缩后上传至攻击者FTP服务器。其特点在于滥用开发者对VS Code应用市场的信任,借助常用工具Lightshot隐藏攻击痕迹,通过多阶段感染链逐步渗透,有效逃避初期检测,一旦感染开发者设备,可能导致源代码、云访问令牌及生产环境凭证等核心资产泄露。
建议相关单位和用户立即组织排查,及时卸载可疑的Visual Studio Code扩展,更新防病毒软件,实施全盘病毒查杀,并可通过及时修复系统安全漏洞、定期备份重要数据、加强开发者安全意识培训等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
