Hacker kënne Visual Studio Maartplaz mëssbrauchen fir Entwéckler mat béiswëlleg Extensiounen ze zielen

Januar 09, 2023An Ravie LakshmanaSupply Chain / CodeSec

En neien Attackvektor, deen de Visual Studio Code Extensions Maartplaz zielt, kéint benotzt ginn fir rogue Extensiounen eropzelueden, déi sech als hir legitim Géigeparteien verkleeden mam Zil d’Versuergungskettenattacken z’installéieren.

D’Technik “kéint als Entrée fir en Ugrëff op vill Organisatiounen handelen”, sot den Aqua Sécherheetsforscher Ilay Goldman an engem Bericht, deen d’lescht Woch publizéiert gouf.

VS Code Extensiounen, curéiert iwwer eng Maartplaz, déi vu Microsoft verfügbar ass, erlaben d’Entwéckler Programméierungssproochen, Debugger an Tools un den VS Code Quellcode Editor ze addéieren fir hir Workflows ze vergréisseren.

“All Extensiounen lafen mat de Privilegien vum Benotzer, deen den VS Code ouni Sandkëscht opgemaach huet,” sot Goldman, erkläert d’potenziell Risiken fir VS Code Extensiounen ze benotzen. “Dëst bedeit datt d’Extensioun all Programm op Ärem Computer installéiere kann, dorënner Ransomware, Wipers a méi.”

Zu dësem Zweck huet Aqua fonnt datt et net nëmme méiglech ass fir e Bedrohungsakteur eng populär Extensioun mat klenge Variatiounen op d’URL ze imitéieren, de Maartplaz erlaabt och de Géigner dee selwechten Numm an d’Extensioun Verlagsdetailer ze benotzen, dorënner d’Informatioun vum Projet Repository.

Iwwerdeems d’Methode net erlaabt d’Zuel vun den Installatiounen an d’Zuel vun de Stäre replizéiert ze ginn, heescht d’Tatsaach datt et keng Restriktiounen op déi aner Identifikatiounsmerkmale gëtt, datt et benotzt ka ginn fir Entwéckler ze täuschen.

D’Fuerschung huet och entdeckt datt d’Verifizéierungsbadge, déi un Autoren zougewisen ass, trivial ëmgoe konnt ginn, well de Scheckzeechen nëmmen beweist datt den Extensiounsverlag den aktuellen Besëtzer vun enger Domain ass.

An anere Wierder, e béisaarteg Schauspiller konnt all Domain kafen, et registréieren fir e verifizéiert Scheckzeechen ze kréien, a schlussendlech eng trojaniséiert Extensioun mam selwechten Numm wéi dee vun engem legitimen op de Maart eropluede.

Eng proof-of-concept (PoC) Extensioun, déi sech als de Prettier Code Formatéierungs-Utility maskéiert, iwwer 1,000 Installatiounen bannent 48 Stonnen vun Entwéckler op der ganzer Welt gepackt huet, sot Aqua. Et ass zanter erofgeholl ginn.

Dëst ass net déi éischte Kéier Bedenken iwwer Software Versuergungsketten Bedrohungen am VS Code Extensiounen Maartplaz opgeworf ginn.

Am Mee 2021 huet d’Entreprise Sécherheetsfirma Snyk eng Zuel vu Sécherheetsfehler a populäre VS Code Extensiounen opgedeckt mat Millioune Downloads déi vu Bedrohungsakteuren mëssbraucht kënne ginn fir Entwéckler Ëmfeld ze kompromittéieren.

“Attacker schaffen dauernd fir hiert Arsenal vun Techniken auszebauen, fir datt se béiswëlleg Code am Netz vun Organisatiounen ausféieren”, sot Goldman.

Hutt Dir dësen Artikel interessant fonnt? Follegt eis weider Twitter an LinkedIn fir méi exklusiv Inhalt ze liesen déi mir posten.

.

Leave a Comment

Your email address will not be published. Required fields are marked *