Фахівці з кібербезпеки виявили нову кампанію з поширення шкідливого ПЗ Evelyn Stealer, яка націлена на розробників програмного забезпечення. Атака використовує екосистему розширень Microsoft Visual Studio Code для викрадення облікових даних, криптовалютної інформації та доступу до корпоративних середовищ.
Зловмисники поширюють шкідливі розширення VS Code, які маскуються під легітимні інструменти або теми оформлення. Після встановлення такі розширення завантажують шкідливий DLL-файл, що запускає приховану PowerShell-команду для завантаження другого етапу атаки.
Основний payload Evelyn Stealer інжектується безпосередньо в памʼять легітимного Windows-процесу, що дозволяє уникати виявлення. Шкідливе ПЗ збирає дані з буфера обміну, інформацію про систему, встановлені програми, криптогаманці, скріншоти робочого столу, збережені Wi-Fi-паролі, а також cookies і облікові дані браузерів Google Chrome та Microsoft Edge.
Для мінімізації слідів і обходу аналізу Evelyn Stealer запускає браузери в headless-режимі, вимикає розширення, логування та sandbox-механізми, а також приховує вікна виконання за межами екрану.
Перші деталі цієї кампанії були зафіксовані ще наприкінці 2025 року, коли дослідники виявили кілька шкідливих VS Code-розширень, що доставляли downloader-модуль. Згодом кампанію детально проаналізували аналітики Trend Micro, які підтвердили використання інʼєкції в памʼять і ексфільтрацію даних через FTP.
Кампанія орієнтована на організації з командами розробників, які мають доступ до production-систем, хмарних ресурсів або цифрових активів, що робить такі середовища особливо привабливою ціллю.
Атака з використанням Evelyn Stealer демонструє, що екосистема інструментів для розробників стає новим вектором компрометації. Компрометація середовища розробника може швидко перерости у масштабний інцидент на рівні всієї організації, що підкреслює важливість контролю сторонніх розширень і моніторингу поведінки процесів.
