Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/microsoft/vscode-marketplace-can-be-abused-to-host-malicious-extensions/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #vscode #marketplace #pode #ser #abusado #para #hospedar #extensões #maliciosas
Os pesquisadores descobriram que é surpreendentemente fácil carregar extensões maliciosas do Visual Studio Code para o VSCode Marketplace e descobriram sinais de agentes de ameaças que já exploram essa fraqueza.
O Visual Studio Code (VSC) é um editor de código-fonte publicado pela Microsoft e usado por cerca de 70% dos desenvolvedores profissionais de software em todo o mundo.
A Microsoft também opera um mercado de extensões para o IDE, chamado VSCode Marketplace, que oferece complementos que estendem a funcionalidade do aplicativo e oferecem mais opções de personalização.
Algumas dessas extensões têm dezenas de milhões de downloads, portanto, se houvesse uma maneira fácil de falsificá-las na plataforma, agentes mal-intencionados poderiam atingir rapidamente um número respeitável de vítimas.
Essas extensões são executadas com privilégios de usuários em máquinas infectadas e podem ser usadas para instalar programas adicionais, roubar ou adulterar o código-fonte no VSCode IDE e até mesmo usar a chave SSH do desenvolvedor para acessar repositórios GitHub conectados.
De acordo com um novo relatório da AquaSec, os pesquisadores descobriram que é bastante fácil carregar extensões maliciosas no Visual Studio Code Marketplace da Microsoft e já encontraram algumas extensões existentes que são muito suspeitas.
Distribuição de extensões maliciosas
Como uma experiência de upload de uma extensão maliciosa para o mercado VSCode, a equipe AquaSec tentou "typosquat" uma extensão de formatação de código popular chamada "Prettier", que tem mais de 27 milhões de downloads.
No entanto, ao criar a extensão, eles descobriram que poderiam reutilizar o logotipo e a descrição da extensão real e dar a ela o mesmo nome da extensão real.
A extensão real (à esquerda) e a extensão falsa (à direita) (AquaSec)
Aparentemente, os editores têm permissão para usar uma propriedade chamada 'displayName', portanto, o nome do complemento que aparece na página do mercado não precisa ser exclusivo.
Em relação aos detalhes do projeto, que exibem as estatísticas do GitHub, a AquaSec descobriu que esta seção é atualizada automaticamente do GitHub. No entanto, o editor ainda pode editar as estatísticas livremente, para que possam ser modificadas para criar a sensação de um projeto ativo com uma longa história de desenvolvimento.
Isso não permitiu que a extensão falsa fosse listada com o mesmo número de downloads e tivesse a mesma classificação de pesquisa, mas os pesquisadores poderiam replicar o nome do projeto GitHub da extensão legítima, os últimos tempos de confirmação, as solicitações pull e os problemas abertos.
"No entanto, ao longo do tempo, um grupo crescente de usuários desconhecidos terá baixado nossa extensão falsa. À medida que esses números crescem, a extensão ganhará credibilidade", explicaram os pesquisadores da AquaSec.
“Além disso, como na dark web é possível comprar vários serviços, um invasor extremamente determinado poderia manipular esses números comprando serviços que aumentariam o número de downloads e estrelas”.
Por fim, os analistas descobriram que o selo de verificação na plataforma não significa quase nada, pois qualquer editor que comprou qualquer domínio recebe a marca azul ao provar a propriedade do domínio. O domínio nem precisa ser relevante para o projeto de software.
A extensão de prova de conceito (PoC) criada pela AquaSec ganhou mais de 1.500 instalações em menos de 48 horas, sendo os desenvolvedores "vítimas" em todo o mundo.
Mapa de desenvolvedores que baixaram a extensão falsa (AquaSec)
Já existem extensões suspeitas do VSCode
O AquaSec não apenas provou que é possível imitar extensões populares no VSCode Marketplace, mas também encontrou exemplos suspeitos já carregados no marketplace.
Duas dessas extensões, denominadas "API Generator Plugin" e "code-tester", exibiram um comportamento bastante preocupante, enviando solicitações HTTP para a URL externa robotnowai.top a cada 30 segundos e executando a resposta usando a função "eval()".
Parte do código 'code-tester' (AquaSec)
Essa troca de informações acontecia em HTTP, portanto nem sequer era criptografada e, portanto, o tráfego dos desenvolvedores estava sujeito a ataques Man-in-the-Middle.
O domínio robotnowai.top foi hospedado em um endereço IP com um longo histórico de distribuição de arquivos maliciosos de acordo com o VirusTotalVirusTotal, variando de scripts VBS e PowerShell a malwares para Windows, Linux e Android.
A AquaSec relatou essas duas extensões à Microsoft, mas elas permanecem no mercado no momento em que este livro foi escrito.
Mercado VSCode pronto para abuso
Os pesquisadores alertam que, embora as extensões do Visual Studio Code tenham recebido pouco escrutínio dos pesquisadores de segurança, os agentes de ameaças geralmente procuram novos métodos para violar redes corporativas.
"Em última análise, a ameaça de extensões maliciosas do VSCode é real. Indiscutivelmente, no passado, isso não recebeu muita atenção, talvez porque ainda não vimos uma campanha em que tenha causado um grande impacto", conclui AquaSec's relatório.
"No entanto, os invasores estão constantemente trabalhando para expandir seu arsenal de técnicas que lhes permitem executar códigos maliciosos dentro da rede das organizações."
Para piorar a situação, a AquaSec diz que a Microsoft também oferece mercados de extensão Visual Studio e Azure DevOps que também parecem vulneráveis a extensões maliciosas.
Com os agentes de ameaças geralmente realizando campanhas maliciosas de typosquatting em outros repositórios de pacotes, como NPM e PyPi, não seria surpreendente voltar seu foco para os mercados da Microsoft no futuro.
Devido a isso, os desenvolvedores de código que usam extensões do VSCode são aconselhados a permanecer vigilantes e examinar seus complementos extensivamente antes de instalá-los em máquinas de produção.
Postar um comentário