Rezumat
- Cercetătorii au trojanizat o temă populară VSCode pentru a expune defecte de securitate.
- Mii de extensii VSCode au fost găsite ca având potențiale riscuri de securitate.
- Instrumentele tradiționale de detectare a punctelor finale se luptă să identifice activitatea VSCode malițioasă.
- Lipsa unor controale stricte din partea Microsoft permite actorilor de amenințare să exploateze piața VSCode.
- Cercetătorii intenționează să lanseze un instrument care să ajute dezvoltatorii să scaneze extensiile rău intenționate.
TL;DR
Cercetătorii israelieni au expus vulnerabilitățile de securitate din Visual Studio Code Marketplace prin troianizarea unei teme populare. Ei au găsit mii de extensii riscante, subliniind necesitatea unor controale de securitate mai bune.
Detalii
Prezentare generală a experimentului
Un grup de cercetători israelieni a explorat securitatea pieței Visual Studio Code (VSCode) și a reușit să “infecteze” peste 100 de organizații prin troianizarea unei copii a temei populare “Dracula Official” pentru a include cod riscant.
Probleme de securitate ale pieței VSCode Marketplace
Cercetări suplimentare privind piața VSCode Marketplace au descoperit mii de extensii cu milioane de instalări. Microsoft operează o piață de extensii pentru IDE, oferind suplimente care extind funcționalitatea aplicației și oferă mai multe opțiuni de personalizare. Rapoartele anterioare au evidențiat lacune în securitatea VSCode, permițând impersonarea extensiilor și a editorilor și extensiile care fură token-uri de autentificare a dezvoltatorilor.
Extensie troianizată
Pentru experimentul lor recent, cercetătorii au creat o extensie care tastează tema “Dracula Official”, numind extensia falsă “Darcula” Cercetătorii au înregistrat chiar și un domeniu corespunzător la ‘darculatheme.com’ pentru a deveni un editor verificat, adăugând credibilitate extensiei false.
Cod malițios
Extensia lor folosește codul real al temei legitime Dracula, dar include și un script adăugat care colectează informații despre sistem și le trimite la un server de la distanță. Instrumentele tradiționale de detectare și răspuns (EDR) nu semnalează această activitate datorită naturii VSCode ca sistem de dezvoltare și testare.
Impact
Extensia a câștigat rapid teren, fiind instalată din greșeală de mai multe ținte de mare valoare, inclusiv o companie cotată la bursă cu o capitalizare de piață de 483 de miliarde de dolari, companii importante de securitate și o rețea națională de tribunale judiciare.
Constatări
Utilizând un instrument personalizat numit “ExtensionTotal”, cercetătorii au descoperit:
- 1.283 de extensii cu cod malițios cunoscut (229 de milioane de instalări).
- 8.161 de extensii care comunică cu adrese IP codificate în mod greșit.
- 1.452 de extensii care rulează executabile necunoscute.
- 2.304 extensii care utilizează repo-ul GitHub al unui alt editor, ceea ce indică faptul că sunt copiatori.
Răspunsul Microsoft
Lipsa unor controale stricte și a unor mecanisme de revizuire a codului pe piața VSCode Marketplace de la Microsoft permite actorilor de amenințări să abuzeze în mod galopant de platformă. Toate extensiile malițioase detectate de cercetători au fost raportate în mod responsabil către Microsoft pentru a fi eliminate. Cu toate acestea, marea majoritate rămâne disponibilă pentru descărcare.
Etape viitoare
Cercetătorii plănuiesc să își publice instrumentul “ExtensionTotal” săptămâna viitoare, lansându-l ca instrument gratuit pentru a ajuta dezvoltatorii să își scaneze mediile pentru potențiale amenințări. BleepingComputer a contactat Microsoft pentru comentarii cu privire la revizuirea măsurilor de securitate ale Visual Studio Marketplace, dar nu a primit încă niciun răspuns.
Sursa articolului:
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
