Οι κακόβουλες επεκτάσεις
VSCode
αποτελούν σημαντική απειλή για τους χρήστες του δημοφιλούς
εργαλείο
υ κωδικοποίησης.
Οι ερευνητές αποκάλυψαν πρόσφατα ότι αυτά τα επιβλαβή πρόσθετα έχουν διεισδύσει στο VSCode Marketplace, θέτοντας πολλούς οργανισμούς σε κίνδυνο.
Τι συμβαίνει με τις κακόβουλες επεκτάσεις VSCode;
Μια ομάδα ερευνητών από το Ισραήλ εξέτασε τα μέτρα ασφαλείας της αγοράς του Visual Studio Code (VSCode) και πέτυχε να «μολύνει» περισσότερους από 100 οργανισμούς ενσωματώνοντας κακόβουλο κώδικα σε μια τροποποιημένη έκδοση του ευρέως χρησιμοποιούμενου.
Επίσημος Δράκουλας
“θέμα. Η έρευνά τους στο VSCode Marketplace αποκάλυψε την παρουσία χιλιάδων επεκτάσεων με εκατομμύρια λήψεις.
Το VSCode, ένας επεξεργαστής πηγαίου κώδικα που αναπτύχθηκε από τη Microsoft, χρησιμοποιείται εκτενώς από επαγγελματίες προγραμματιστές λογισμικού παγκοσμίως.
Η Microsoft επιβλέπει επίσης μια αγορά επέκτασης για αυτό το ολοκληρωμένο περιβάλλον
ανάπτυξη
ς (IDE), γνωστό ως Visual Studio Code Marketplace.
Αυτή η αγορά παρέχει διάφορα πρόσθετα που βελτιώνουν τη λειτουργικότητα και την προσαρμογή της εφαρμογής.
Ένα γράμμα κάνει τη διαφορά
Στο πρόσφατο πείραμά τους, οι ερευνητές Amit Assaraf, Itay Kruk και Idan Dardikman ανέπτυξαν μια επέκταση σχεδιασμένη για να πληκτρολογήσει το δημοφιλές θέμα «Dracula Official», ένα αγαπημένο συνδυασμό χρωμάτων με περισσότερες από 7 εκατομμύρια εγκαταστάσεις στο VSCode Marketplace. Λόγω της ελκυστικής σκοτεινής λειτουργίας και της χρωματικής παλέτας υψηλής αντίθεσης, το «Dracula» χρησιμοποιείται ευρέως από τους προγραμματιστές για τη μείωση της καταπόνησης των ματιών κατά τη διάρκεια παρατεταμένων συνεδριών κωδικοποίησης.
Η πλαστό επέκταση, με το όνομα «
Ντάρκουλα
,’ κατασκευάστηκε σχολαστικά και οι ερευνητές κατοχύρωσαν ακόμη και τον τομέα’
darculatheme.com
.’ Αυτός ο τομέας χρησιμοποιήθηκε για τη δημιουργία μιας επαληθευμένης κατάστασης εκδότη στο VSCode Marketplace, δίνοντας έτσι αυθεντικότητα στην ψεύτικη επέκταση.
Η έκδοση της επέκτασης περιείχε τον νόμιμο κώδικα από το πραγματικό θέμα Dracula αλλά με ένα πρόσθετο σενάριο σχεδιασμένο για τη συλλογή πληροφοριών συστήματος όπως το όνομα κεντρικού υπολογιστή, τον αριθμό των εγκατεστημένων επεκτάσεων, το όνομα τομέα της συσκευής και την πλατφόρμα του λειτουργικού συστήματος. Αυτά τα δεδομένα στη συνέχεια μεταδόθηκαν σε έναν απομακρυσμένο διακομιστή μέσω αιτήματος HTTPS POST.
Οι ερευνητές τόνισαν ότι ο κακόβουλος κώδικας που είναι ενσωματωμένος στην επέκταση αποφεύγει την ανίχνευση από εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR).
Αυτή η φοροδιαφυγή συμβαίνει επειδή το VSCode, δεδομένου του ρόλου του ως περιβάλλοντος ανάπτυξης και δοκιμών, αντιμετωπίζεται συχνά με επιείκεια από τα εργαλεία ασφαλείας.
Πίστωση εικόνας
)
«Δυστυχώς, τα παραδοσιακά εργαλεία ασφάλειας τελικού σημείου (EDR) δεν εντοπίζουν αυτήν τη δραστηριότητα (όπως έχουμε δείξει παραδείγματα
RCE
για επιλεγμένους οργανισμούς κατά τη διαδικασία υπεύθυνης αποκάλυψης). Το VSCode έχει δημιουργηθεί για να διαβάζει πολλά αρχεία και να εκτελεί πολλές εντολές και να δημιουργεί θυγατρικές διεργασίες, επομένως οι EDR δεν μπορούν να καταλάβουν εάν η δραστηριότητα από το VSCode είναι νόμιμη δραστηριότητα προγραμματιστή ή κακόβουλη επέκταση.”
δηλωθείς
Αμίτ Ασαράφ.
Οι επεκτάσεις Malicious VSCode κέρδισαν γρήγορα έλξη και εγκαταστάθηκαν ακούσια από πολλούς στόχους υψηλής αξίας, συμπεριλαμβανομένης μιας εισηγμένης εταιρείας με κεφαλαιοποίηση 483 δισεκατομμυρίων δολαρίων
, μεγάλες εταιρείες ασφαλείας και ένα εθνικό δίκτυο δικαστηρίων. Οι ερευνητές επέλεξαν να μην αποκαλύψουν την ταυτότητα των επηρεαζόμενων οργανισμών.
Δεδομένου ότι το πείραμα δεν είχε σκοπό να προκαλέσει βλάβη, οι ερευνητές συνέλεξαν μόνο πληροφορίες αναγνώρισης και συμπεριέλαβαν μια αποκάλυψη στην επέκταση Read Me, την άδεια και τον κωδικό της επέκτασης.
Κατάσταση του VSCode Marketplace
Μετά το επιτυχημένο πείραμά τους, οι ερευνητές αποφάσισαν να εμβαθύνουν στο τοπίο απειλών του VSCode Marketplace.
Χ
ρησιμοποιώντας ένα προσαρμοσμένο εργαλείο που ανέπτυξαν, με το όνομα “ExtensionTotal”, προσπάθησαν να εντοπίσουν επεκτάσεις υψηλού κινδύνου, να τις αποσυσκευάσουν και να εξετάσουν ύποπτα αποσπάσματα κώδικα.
Η έρευνα αυτή αποκάλυψε τα εξής:
- 1.283 επεκτάσεις που περιέχουν γνωστό κακόβουλο κώδικα, συνολικά 229 εκατομμύρια εγκαταστάσεις.
- 8.161 κακόβουλες επεκτάσεις VSCode που επικοινωνούν με διευθύνσεις IP με σκληρό κώδικα.
- 1.452 επεκτάσεις που εκτελούν άγνωστα εκτελέσιμα.
- 2.304 επεκτάσεις που χρησιμοποιούν το αποθετήριο GitHub άλλου εκδότη, υποδηλώνοντας ότι είναι αντιγραφές.
Ένα παράδειγμα κώδικα που βρίσκεται σε μια κακόβουλη επέκταση VScode περιλαμβάνει έναν κώδικα που ανοίγει ένα αντίστροφο κέλυφος στον διακομιστή ενός κυβερνοεγκληματία.
Πίστωση εικόνας
)
Οι ερευνητές τόνισαν ότι οι ανεπαρκείς έλεγχοι και οι μηχανισμοί ελέγχου κώδικα της Microsoft στο VSCode Marketplace διευκολύνουν την αχαλίνωτη κατάχρηση της πλατφόρμας. Αυτό το ζήτημα επιδεινώνεται καθώς η χρήση της πλατφόρμας συνεχίζει να αυξάνεται.
«Όπως μπορείτε να καταλάβετε από τους αριθμούς, υπάρχει πληθώρα επεκτάσεων που ενέχουν κινδύνους για οργανισμούς στην αγορά του Visual Studio Code», προειδοποίησαν οι ερευνητές. «Οι επεκτάσεις VSCode είναι μια καταχρηστική και εκτεθειμένη κατακόρυφη επίθεση, με μηδενική ορατότητα, υψηλό αντίκτυπο και υψηλό κίνδυνο. Αυτό το ζήτημα αποτελεί άμεση απειλή για τους οργανισμούς και αξίζει την προσοχή της κοινότητας ασφαλείας».
Η παραβίαση δεδομένων Snowflake είναι ένα μπερδεμένο χάος
Όλες οι εντοπισμένες κακόβουλες επεκτάσεις VScode αναφέρθηκαν υπεύθυνα στη Microsoft για κατάργηση. Ωστόσο, τη στιγμή που γράφονται αυτές οι γραμμές, η πλειονότητα αυτών των κακόβουλων επεκτάσεων VSCode παραμένει διαθέσιμη για λήψη μέσω του VSCode Marketplace.
Οι ερευνητές σκοπεύουν να κυκλοφορήσουν το εργαλείο «ExtensionTotal», μαζί με λεπτομέρειες σχετικά με τις επιχειρησιακές του δυνατότητες, την επόμενη εβδομάδα. Αυτό το εργαλείο θα διατεθεί δωρεάν για να βοηθήσει τους προγραμματιστές να σαρώσουν το περιβάλλον τους για πιθανές απειλές.
Πίστωση επιλεγμένης εικόνας:
Markus Spiske/Unsplash
VIA:
DataConomy.com
0