Uzmanlar, Visual Studio Code (VSC) uzantıları için bir havuz olan VSCode Marketplace’in zayıf güvenlik savunmasına sahip olduğu ve tehdit aktörlerinin onu kötüye kullanmasına ve milyonlarca kullanıcısı arasında kötü amaçlı kod dağıtmasına izin verdiği konusunda uyardı.
AquaSec’ten bir rapor, platformu test etti ve kötü amaçlı yazılım dağıtmak için kötüye kullanıldığı sonucuna vardı. (yeni sekmede açılır) gülünç derecede kolaydı.
Ayrıca araştırmacılar, kusurları ilk fark edenlerin kendileri olmadığını iddia ediyor – bazı tehdit aktörleri zaten aktifti.
Önemli ayrıntıların kopyalanması
İçinde Blog yazısı (yeni sekmede açılır)AquaSec’in ekibi, 27 milyon indirme sayısına sahip popüler bir uzantının yazım hataları yapılmış, kötü niyetli bir sürümünü nasıl yüklemeye çalıştığını özetledi.
Kötü amaçlı yazılımın yazım hatalarına bile gerek olmadığını fark etti – platformun, yazarların uzantılarını istedikleri gibi adlandırmalarına izin veren “displayName” adlı bir özelliği var – adın benzersiz olması gerekmiyor. Yani meşru olanla tamamen aynı adı verdiler.
Daha sonra meşru projeyle aynı logo ve açıklamayı kullanabileceklerini fark ettiler.
Ayrıca, GitHub’dan alınan ayrıntılar daha sonra düzenlenebilir. Bu, saldırganların proje ayrıntılarını kolayca taklit edebileceği ve kötü amaçlı yazılımı uzun bir geliştirme geçmişi olan meşru bir araç olarak sunabileceği anlamına gelir. Taklit edilemeyecek tek şey indirme sayısı ve arama sıralamasıydı.
AquaSec, “Ancak, zaman içinde, bilgisiz kullanıcılardan oluşan artan bir havuz sahte uzantımızı indirmiş olacak. Bu rakamlar büyüdükçe, uzantı güvenilirlik kazanacak” dedi. “Ayrıca, karanlık ağda çeşitli hizmetler satın almak mümkün olduğundan, son derece kararlı bir saldırgan, indirme ve yıldız sayısını artıracak hizmetler satın alarak potansiyel olarak bu sayıları manipüle edebilir.”
AquaSec, VSCode Marketplace’teki doğrulama rozetine de baktı ve alan adının yazılım projesiyle ilgisi ne olursa olsun, satın alınan bir alan adıyla yayınlanan herkes bir tane aldığından, özelliğin anlamsız olduğu sonucuna vardı.
Araştırmacılar yalnızca bir kavram kanıtı oluştururken, mağazada gizlenen gerçek kötü amaçlı kod da buldular. Bunlar “API Generator Plugin” ve “code tester” olarak adlandırılır.
Visual Studio Code, dünya çapındaki profesyonel yazılım geliştiricilerin yaklaşık %70’i tarafından kullanılan Microsoft’un kaynak kodu düzenleyicisidir. BleepingBilgisayar. Uzantılar, ek programlar yüklemek, kaynak kodunu çalmak veya VSCode IDE’de başka şekillerde kurcalamak için kullanılabilir.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)