Visual Studio Kod uzantıları pazarını hedefleyen yeni bir saldırı vektörü, tedarik zinciri saldırılarını artırmak amacıyla meşru muadilleri gibi davranan hileli uzantıları yüklemek için kullanılabilir.
Aqua güvenlik araştırmacısı Ilay Goldman, teknik “birçok kuruluşa yönelik bir saldırı için bir giriş noktası görevi görebilir”. dedim geçen hafta yayınlanan bir raporda.
VS Code uzantıları, küratörlüğünü bir pazar yeri Microsoft tarafından sağlanan, geliştiricilerin iş akışlarını artırmak için VS Code kaynak kodu düzenleyicisine programlama dilleri, hata ayıklayıcılar ve araçlar eklemelerine olanak tanır.
Goldman, VS Code uzantılarını kullanmanın potansiyel risklerini açıklayarak, “Tüm uzantılar, VS Code’u herhangi bir sanal alan olmadan açan kullanıcının ayrıcalıklarıyla çalışır.” “Bu, uzantının bilgisayarınıza fidye yazılımları, siliciler ve daha fazlası dahil olmak üzere herhangi bir programı yükleyebileceği anlamına gelir.”
Bu amaçla Aqua, bir tehdit aktörünün URL’de küçük değişiklikler yaparak popüler bir uzantıyı taklit etmesinin mümkün olmasının yanı sıra, pazar yerinin aynı zamanda, proje deposu bilgileri de dahil olmak üzere aynı adı ve uzantı yayıncı ayrıntılarını kullanmasına da izin verdiğini buldu.
Yöntem, yükleme sayısının ve yıldız sayısının çoğaltılmasına izin vermese de, diğer tanımlayıcı özelliklerde herhangi bir kısıtlama olmaması, geliştiricileri aldatmak için kullanılabileceği anlamına gelir.
Araştırma ayrıca, onay işareti yalnızca uzantı yayıncısının bir alanın gerçek sahibi olduğunu kanıtladığından, yazarlara atanan doğrulama rozetinin önemsiz bir şekilde atlanabileceğini de keşfetti.
Başka bir deyişle, kötü niyetli bir aktör herhangi bir etki alanını satın alabilir, doğrulanmış bir onay işareti almak için kaydettirebilir ve nihayetinde pazara meşru bir adla aynı ada sahip trojanlaştırılmış bir uzantı yükleyebilir.
kılığına giren bir kavram kanıtı (PoC) uzantısı daha güzel Aqua, kod biçimlendirme yardımcı programının dünya çapındaki geliştiriciler tarafından 48 saat içinde 1.000’den fazla kurulum gerçekleştirdiğini söyledi. O zamandan beri oldu aşağı çekilmiş.
Bu, VS Code uzantıları pazarındaki yazılım tedarik zinciri tehditleri hakkında ilk kez dile getirilen endişeler değil.
Mayıs 2021’de kurumsal güvenlik firması Snyk, tehdit aktörleri tarafından geliştirici ortamlarını tehlikeye atmak için kötüye kullanılmış olabilecek milyonlarca indirmeye sahip popüler VS Code uzantılarında bir dizi güvenlik açığını ortaya çıkardı.
Goldman, “Saldırganlar, kuruluşların ağı içinde kötü amaçlı kod çalıştırmalarına olanak tanıyan teknik cephaneliğini genişletmek için sürekli çalışıyorlar” dedi.
Güncelleme
Bir Microsoft sözcüsü, The Hacker News ile aşağıdaki açıklamayı paylaşarak, araçlar sağlar kullanıcıların Marketplace’te tanımlanan kötü amaçlı uzantıları işaretlemesi için. Ayrıca PoC eklentisinin kaldırıldığını da doğruladı.
Bu teknik, bir kurbanı kötü amaçlı bir uzantı indirmeye ikna etmek için sosyal mühendislik taktiklerinin kullanılmasını içerir. Müşterilerin güvende ve korunmasına yardımcı olmak için, uzantıları Marketplace’e yüklenmeden önce virüslere ve kötü amaçlı yazılımlara karşı tararız ve bir uzantının yüklenmeden önce bir Marketplace sertifikasına ve doğrulanabilir imzaya sahip olup olmadığını kontrol ederiz. Tüketicilerin bilinçli kararlar vermesine yardımcı olmak için istenmeyen indirmeleri önlemek için alan adı doğrulaması, derecelendirmeler ve geri bildirimler gibi bilgileri incelemelerini öneririz.