Миллионы установок: цифровые демоны массово прячутся в расширениях для VSCode

10.06.2024

История о том, как свыше 100 организаций стали жертвой принудительного пентеста.

Израильские исследователи выявили серьёзные уязвимости на рынке расширений Visual Studio Code, успешно «заразив» более 100 организаций путём внедрения вредоносного кода в расширение-клон популярной темы интерфейса «Dracula Official». Специалисты также обнаружили тысячи расширений с миллионами установок, содержащих скрытые риски для безопасности.

Visual Studio Code (VSCode (Visual Studio Code) — это бесплатный редактор кода, разработанный компанией Microsoft. Он предоставляет широкий набор функций и инструментов для разработки программного обеспечения. VSCode поддерживает различные языки программирования и платформы, включая JavaScript, Python, C++, Java и многие другие.<br /> <br /> VSCode обладает мощным набором функций, таких как подсветка синтаксиса, автодополнение кода, интегрированная система контроля версий и отладчик. Редактор также обладает гибкой настройкой и расширяемостью, благодаря чему пользователи могут адаптировать его под свои потребности. Он поддерживает установку и использование различных плагинов и расширений, которые позволяют расширить его функциональность и интеграцию с другими инструментами и сервисами.<br /> <br /> Одной из ключевых особенностей VSCode является его быстродействие и легкость. Редактор занимает небольшой объем памяти и быстро открывает и обрабатывает большие проекты. Он также предлагает удобную навигацию по коду, инструменты для рефакторинга и поиска, а также возможность интеграции с системами сборки и развертывания." data-html="true" data-original-title="VSCode" >VSCode) — это редактор исходного кода, разработанный Microsoft и используемый многими профессиональными разработчиками по всему миру. Microsoft также управляет магазином расширений для VSCode под названием VSCode Marketplace — это онлайн-магазин расширений для Visual Studio Code, интегрированной среды разработки от Microsoft. Расширения позволяют добавлять различные функции и возможности к Visual Studio Code, такие как поддержка языков программирования, отладка, тестирование, темы, визуализация и другое. <br /> <br /> Microsoft VSCode Marketplace также включает расширения для Visual Studio, Azure DevOps Services и Azure DevOps Server." data-html="true" data-original-title="VSCode Marketplace" >VSCode Marketplace, предлагающим дополнения для расширения функциональности и настройки приложения.

В прошлом различные исследователи уже неоднократно сообщали о тех или иных проблемах безопасности в VSCode, включая возможность подмены расширений и кражу токенов аутентификации разработчиков. Также были и подтверждённые случаи обнаружения вредоносных расширений.

Обычно Microsoft оперативно закрывает подобные уязвимости, однако само их наличие и столь частые обнаружения, мягко говоря, не внушает доверия.

Для своего эксперимента исследователи Амит Асараф, Итай Крук и Идан Дардикман создали расширение, имитирующее популярную тему «Dracula Official», которая имеет более 7 миллионов установок. Поддельное расширение было названо «Darcula Official», и исследователи даже зарегистрировали домен «darculatheme.com», чтобы добавить доверия фальшивому расширению.

Ситуацию усугубляет то, что название «Darcula», специально написанное с ошибкой, является устоявшимся обозначением. Например, плагин «Glowing Darcula» для Интегрированная среда разработки (Integrated Development Environment, IDE) — это программное обеспечение, которое предоставляет разработчикам комплексные возможности для написания, тестирования, отладки и развертывания программного кода." data-html="true" data-original-title="IDE" >IDE IntelliJ IDEA от JetBrains является вполне себе легитимным и также используется тысячами разработчиков. Поэтому в случае со шпионским исследовательским плагином никто из пользователей VSCode и не заметил подвоха.

Вредоносный код, добавленный исследователями в их расширение, собирает системную информацию и отправляет её на удалённый сервер. Этот код не распознаётся инструментами защиты, так как VSCode считается системой для разработки и тестирования.

«К сожалению, традиционные инструменты защиты конечных точек (Endpoint Detection & Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах Интернета вещей и так далее. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом такие решения не могут полностью заменить антивирусы, поскольку эти технологии решают разные задачи." data-html="true" data-original-title="EDR" >EDR) не обнаруживают эту активность», — отметил Амит Асараф. «VSCode предназначен для чтения множества файлов и выполнения множества команд, что затрудняет EDR-инструментам распознавание, является ли данная активность легитимной или вредоносной».

Поддельное расширение быстро набрало популярность и было установлено многими разработчиками из крупных организаций, включая «публичную компанию с рыночной капитализацией $483 миллиарда», несколько ИБ-фирм, а также национальную судебную сеть.

После успешного эксперимента исследователи решили плотно изучить угрозы на рынке расширений VSCode и обнаружили:

Слишком мягкие меры контроля и проверки кода на рынке расширений VSCode позволяют злоумышленникам вовсю злоупотреблять платформой. А в связи с ростом числа разработчиков и популярности VSCode, ситуация лишь усугубляется. Исследователи предупреждают о значительных рисках для организаций, связанных с установкой расширений из VSCode Marketplace.

Обо всех обнаруженных вредоносных расширениях было ответственно сообщено в Microsoft для удаления, однако большинство из них пока что остаются доступными для загрузки.

На следующей неделе исследователи планируют опубликовать свой инструмент «ExtensionTotal», при помощи которого и обнаружили все сомнительные расширения. Инструмент будет доступен бесплатно для разработчиков, давая им возможность просканировать свои окружения на потенциальные угрозы.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Феодосиев день. Что можно и что нельзя делать 11 июня 2024 года

Next Story

Hugging Face представляет Reachy2: революционный робот с открытым кодом

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop