Групі ізраїльських дослідників, яка досліджувала безпеку ринку Visual Studio Code, вдалося «заразити» понад 100 організацій, «троянізувавши» копію популярної теми Dracula Official. Подальше дослідження VSCode Marketplace виявило тисячі розширень із мільйонами встановлень, повідомляє BleepingComputer.
Visual Studio Code (VSCode) – це редактор вихідного коду від Microsoft, який використовується багатьма професійними розробниками програмного забезпечення по всьому світу.
Корпорація Microsoft також керує ринком розширень для IDE під назвою Visual Studio Code Marketplace. Він пропонує додаткові компоненти, які розширюють функціональні можливості програми.
Попередні звіти висвітлювали прогалини в безпеці VSCode, а також розширення, які викрадають маркери автентифікації розробника.
Для свого недавнього експерименту дослідники Аміт Ассараф, Ітай Крук та Ідан Дардікман створили розширення, яке друкує тему Dracula Official, популярну колірну схему для різних програм, яка має понад 7 мільйонів установок на VSCode Marketplace.
Dracula використовується великою кількістю розробників завдяки його візуально привабливому темному режиму з висококонтрастною кольоровою палітрою, яка приємна для очей і допомагає зменшити навантаження на очі під час тривалих сеансів кодування.
Фальшиве розширення, яке використовувалося в дослідженні, було названо Darcula і дослідники навіть зареєстрували відповідний домен на «darculatheme.com». Цей домен використовувався, щоб стати перевіреним видавцем на VSCode Marketplace, що додало довіри до підробленого розширення.
Їхнє розширення використовує фактичний код із законної теми Darcula, але також містить доданий сценарій, який збирає системну інформацію, включаючи ім’я хоста, кількість встановлених розширень, ім’я домену пристрою і платформу операційної системи, а також надсилає її на віддалений сервер через запит HTTPS POST.
Дослідники зазначають, що традиційні інструменти EDR не виявляють цю активність. VSCode створено для читання багатьох файлів, виконання багатьох команд і створення дочірніх процесів. Тому EDR не можуть зрозуміти, чи є діяльність із VSCode законною діяльністю розробника, чи шкідливим розширенням.
Розширення швидко набуло популярності: його помилково було встановлено чимало разів. В тому числі публічною компанією із ринковою капіталізацією $483 мільярди, великими охоронними компаніями та національною мережею судових органів.
Дослідники вирішили не розголошувати назви постраждалих компаній.
Оскільки в експерименті не було зловмисного наміру, аналітики лише зібрали ідентифікаційну інформацію та включили розголошення в розширення Read Me, ліцензію та код.
Після успішного експерименту дослідники вирішили зануритися у ландшафт загроз VSCode Marketplace, використовуючи спеціальний інструмент під назвою ExtensionTotal. Його розробили, щоб знайти високоризикові розширення, розпакувати їх і ретельно перевірити підозрілі фрагменти коду.
Відсутність у Microsoft суворого контролю та механізмів перевірки коду на VSCode Marketplace дає змогу зловмисникам зловживати платформою.
«Розширення VSCode – це зловживана й викрита вертикаль атак із нульовою видимістю, сильним впливом і високим ризиком. Ця проблема становить пряму загрозу для організацій і заслуговує на увагу спільноти безпеки», – попередили дослідники.
Про всі шкідливі розширення, виявлені дослідниками, повідомили корпорації Microsoft. Однак переважна більшість із них залишається доступною для завантаження через VSCode Marketplace.
Дослідники планують опублікувати свій інструмент ExtensionTotal разом із докладною інформацією про його робочі можливості наступного тижня, випустивши його як безкоштовний інструмент, який допоможе розробникам сканувати своє середовище на наявність потенційних загроз.
Читайте також на ProIT: Microsoft передає свій найкращий штучний інтелект на аутсорсинг – і це гарна новина для Google.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!