Sommario
Nel panorama sempre più articolato delle minacce informatiche, emergono due episodi distinti ma emblematici della sofisticazione e della varietà degli attacchi moderni. Da una parte, l’infiltrazione nel marketplace ufficiale di Visual Studio Code (VSCode) con estensioni contenenti ransomware in fase di sviluppo. Dall’altra, l’identificazione della backdoor Betruger, usata dal gruppo RansomHub, una delle gang ransomware attualmente più attive e pericolose.
Queste minacce non solo sfruttano falle nei sistemi software, ma aggirano le barriere fiduciarie delle piattaforme ufficiali, evidenziando gravi debolezze nei processi di verifica e nella supply chain digitale.
VSCode: estensioni malevole camuffate distribuiscono codice ransomware
I ricercatori di ReversingLabs hanno scoperto due estensioni malevole pubblicate sul marketplace di VSCode: “ahban.shiba” e “ahban.cychelloworld”. Sebbene abbiano registrato rispettivamente solo sette e otto download prima della rimozione, la gravità risiede nel fatto che sono riuscite a superare il sistema di controllo di Microsoft e a rimanere attive per mesi.
Caricate a ottobre 2024 e febbraio 2025, le estensioni contenevano comandi PowerShell che scaricavano uno script remoto da un server AWS. Questo script, pur ancora in fase di sviluppo, criptava file localizzati nel percorso C:\users\%username%\Desktop\testShiba, mostrando poi un avviso che chiedeva 1 ShibaCoin in riscatto.
La struttura e il comportamento rudimentale del codice indicano che si trattava di un test preliminare per un ransomware in divenire, ma il rischio è stato reale. È preoccupante che la seconda estensione abbia subito sei aggiornamenti con codice malevolo sempre accettato dalla piattaforma, nonostante segnalazioni precoci da parte di altri ricercatori, tra cui Italy Kruk di ExtensionTotal, che aveva avvisato Microsoft già a novembre 2024.
Questo caso ha messo in evidenza gravi falle nel processo di validazione delle estensioni e nella risposta ai report di sicurezza da parte di Microsoft, che da un lato ha reagito con eccessiva severità rimuovendo in passato estensioni legittime, e dall’altro ha ignorato minacce autentiche con codice attivo.
RansomHub e la backdoor Betruger: la catena di strumenti di attacco cresce
Parallelamente, la piattaforma Security.com ha rivelato nuovi dettagli sulla backdoor Betruger, usata dal gruppo RansomHub, che rappresenta uno degli attori ransomware più pervasivi del 2025.
Nelle infezioni analizzate, sono stati identificati numerosi hash SHA-256 associati a componenti malevoli come EDRkillshifter, SystemBC, Rclone batch file, CVE-2023-27532 exploit, NetScan, Mimikatz, ScreenConnect, Splashtop, oltre a decine di file classificati come Unknown ma ricorrenti nei pacchetti distribuiti.
Tra i vettori principali, emerge l’uso di vulnerabilità note come CVE-2023-27532 e l’integrazione con strumenti di amministrazione remota come Atera e ScreenConnect, che vengono riutilizzati in maniera fraudolenta per mantenere il controllo sui sistemi infetti.
Il cuore del toolkit resta comunque Betruger, una backdoor modulare capace di:
- disattivare endpoint detection & response (EDR)
- esfiltrare dati attraverso canali cifrati
- distribuire payload multipli in base al contesto del sistema target
Questo arsenale conferma la natura stratificata e modulare dell’attività di RansomHub, che mira a massimizzare la persistenza e la capacità di evasione nei sistemi compromessi.
Supply chain e marketplace: il punto debole delle infrastrutture moderne
Le due vicende, apparentemente scollegate, mostrano una verità comune: le minacce moderne aggirano le difese non solo attaccando le vulnerabilità del software, ma infiltrandosi nei luoghi considerati “sicuri” dal punto di vista della fiducia dell’utente.
Il marketplace di VSCode è uno strumento essenziale per milioni di sviluppatori, e la presenza di codice malevolo al suo interno potrebbe fungere da punto d’ingresso in infrastrutture di sviluppo e produzione.
Allo stesso modo, la catena Betruger/RansomHub evidenzia come gli attori ransomware più avanzati non si limitino più a un singolo payload, ma assemblino toolkit personalizzati e adattabili, sfruttando backdoor, exploit pubblici e strumenti legittimi.
Rafforzare la fiducia negli ecosistemi digitali
La protezione delle infrastrutture digitali passa oggi attraverso l’aumento della trasparenza nei processi di pubblicazione delle estensioni, la rapidità nella risposta alle segnalazioni e il monitoraggio continuo dell’ambiente esecutivo.
È essenziale che le piattaforme come VSCode rafforzino i controlli automatici e manuali, e che le organizzazioni implementino strategie di threat hunting proattivo contro gruppi come RansomHub. La combinazione di AI, automazione malevola e supply chain compromessa rappresenta un rischio sistemico che richiede una risposta a più livelli.
