Araştırmacılar, VSCode pazarına kötü niyetli görsel stüdyo kodu uzantılarının yüklenmesini şaşırtıcı derecede kolay buldular ve bu zayıflıktan yararlanan tehdit aktörlerinin belirtilerini keşfetti.
Visual Studio Code (VSC), Microsoft tarafından yayınlanan ve dünya çapında profesyonel yazılım geliştiricilerinin yaklaşık% 70'i tarafından kullanılan bir kaynak kodu düzenleyicisidir.
Microsoft ayrıca, uygulamanın işlevselliğini genişleten ve daha fazla özelleştirme seçenekleri sunan eklentiler sunan VSCode Marketplace adlı IDE için bir uzantılar pazarı işletiyor.
Bu uzantıların bazılarının on milyonlarca indirme var, bu nedenle onları platformda taklit etmenin kolay bir yolu olsaydı, kötü niyetli aktörler hızla saygın sayıda kurbana ulaşabilirler.
Bu uzantılar, enfekte edilmiş makinelerde kullanıcıların ayrıcalıklarıyla çalışır ve VSCODE IDE'de kaynak koduyla ek programlar kurmak, çalmak veya kurcalamayı kurmak ve hatta bağlı GitHub depolarına erişmek için geliştiricinin SSH anahtarını kullanabilir.
Aquasec'in yeni bir raporuna göre, araştırmacılar Microsoft'un Visual Studio Code Marketplace'e kötü niyetli uzantıları oldukça kolay buldular ve zaten çok şüpheli birkaç uzantıyı buldular.
VSCode pazarına kötü niyetli bir uzatma yükleme deneyi olarak, Aquasec ekibi 27 milyondan fazla indirme olan "Prettier" adlı popüler bir kod biçimlendirme uzantısını "yazılmaya" çalıştı.
Bununla birlikte, uzantıyı oluştururken, gerçek uzantının logosunu ve açıklamasını yeniden kullanabileceklerini ve gerçek uzantı ile aynı adı verebileceklerini bulmuşlardır.
Görünüşe göre, yayıncıların 'DisplayName' adlı bir mülk kullanmasına izin verilir, bu nedenle piyasa sayfasında görünen eklentinin adı benzersiz olmak zorunda değildir.
Github istatistiklerini görüntüleyen proje ayrıntıları ile ilgili olarak Aquasec, bu bölümün GitHub'dan otomatik olarak güncellendiğini buldu. Bununla birlikte, yayıncı istatistikleri serbestçe düzenleyebilir, böylece bunlar uzun bir gelişme geçmişine sahip aktif bir proje duygusu oluşturmak için değiştirilebilir.
Bu, sahte uzantının aynı sayıda indirme ile listelenmesine ve aynı arama sıralamasına sahip olmasına izin vermedi, ancak araştırmacılar meşru uzantının GitHub proje adını, son taahhüt sürelerini, çekme isteklerini ve açık sorunlarını çoğaltabilir.
Aquasec araştırmacıları, "Ancak, zamanla artan bir bilgili kullanıcı havuzu sahte uzantımızı indirecek. Bu rakamlar büyüdükçe, uzatma güvenilirlik kazanacak."
"Ayrıca, karanlık web'de çeşitli hizmetler satın almak mümkün olduğundan, son derece belirlenmiş bir saldırgan, indirme ve yıldız sayısını şişirecek hizmet satın alarak bu sayıları potansiyel olarak manipüle edebilir."
Son olarak, analistler, platformdaki doğrulama rozetinin hiçbir şeyin yanında olmadığını keşfettiler, çünkü herhangi bir alan adını satın alan herhangi bir yayıncı, etki alanı sahipliğini kanıtladıktan sonra mavi kene alırlar. Alanın yazılım projesiyle alakalı olması gerekmez.
Aquasec tarafından oluşturulan konsept kanıtı (POC) uzantısı, dünya çapında "kurban" geliştiricileri ile 48 saatin altında 1.500'den fazla kurulum kazandı.
Aquasec, VSCODE Marketplace'teki popüler uzantıları taklit etmenin mümkün olduğunu kanıtlamadı, aynı zamanda piyasaya yüklenmiş şüpheli örnekler de buldu.
"API Jeneratör Eklentisi" ve "Code-Tester" olarak adlandırılan bu uzantılardan ikisi, her 30 saniyede bir harici robotnowai.top URL'sine HTTP istekleri göndererek ve "Değer ()" işlevini kullanarak yanıtı yürüterek çok ilgili davranış sergiledi.
Bu bilgi alışverişi HTTP'de gerçekleşti, bu yüzden şifrelenmedi ve bu nedenle geliştiricilerin trafiği ortadaki insan saldırılarına tabi tutuldu.
Robotnowai.top etki alanı, VBS ve PowerShell komut dosyaları ve Windows, Linux ve Android kötü amaçlı yazılımlardan değişen VirustotalVirustotal'a göre kötü amaçlı dosyaları dağıtma geçmişine sahip bir IP adresinde barındırıldı.
Aquasec, bu uzantıların her ikisini de Microsoft'a bildirdi, ancak bu yazı sırasında pazarda kalıyorlar.
Araştırmacılar, Visual Studio kodu uzantılarının güvenlik araştırmacıları tarafından çok az inceleme yapmış olsa da, tehdit aktörlerinin genellikle kurumsal ağları ihlal etmek için yeni yöntemler aradıkları konusunda uyarıyorlar.
"Nihayetinde, kötü niyetli VSCode uzantıları tehdidi gerçektir. Muhtemelen, geçmişte, bu belki de henüz büyük bir etki bıraktığı bir kampanya görmediğimiz için bu en yüksek ilgi görmedi." raporlamak.
"Bununla birlikte, saldırganlar sürekli olarak, kuruluşlar ağının içinde kötü amaçlı kod çalıştırmalarına izin veren teknik cephaneliğini genişletmek için çalışıyorlar."
Daha da kötüsü, Aquasec, Microsoft'un ayrıca kötü niyetli uzantılara karşı savunmasız görünen Visual Studio ve Azure DevOps Extension pazarları sunduğunu söylüyor.
Tehdit aktörleri, NPM ve PYPI gibi diğer paket depolarında yaygın olarak kötü niyetli yazım hatası kampanyaları gerçekleştirirken, gelecekte Microsoft pazarlarına odaklanmak şaşırtıcı olmayacaktır.
Bu nedenle, VSCODE uzantıları kullanan kod geliştiricilerinin uyanık kalmaları ve eklentilerini üretim makinelerine kurmadan önce kapsamlı bir şekilde incelemeleri tavsiye edilir.
Microsoft: PostgreSQL aracılığıyla kötü amaçlı yazılım kampanyasında hacklenen Kubernetes kümeleri
Bu premium eğitim paketi ile yeni programlama becerileri kazanın
Proxynotshell saldırılarına karşı savunmasız 60.000'den fazla değişim sunucusu
BleepingComputer'ın 2022 En Popüler Teknoloji Hikayeleri
BleepingComputer'ın 2022 En Popüler Siber Güvenlik Hikayeleri
Kaynak: Bleeping Computer