Se podría aprovechar un nuevo vector de ataque dirigido al mercado de extensiones de Visual Studio Code para cargar extensiones no autorizadas que se hacen pasar por sus contrapartes legítimas con el objetivo de montar ataques a la cadena de suministro.
La técnica «podría actuar como un punto de entrada para un ataque a muchas organizaciones», dijo el investigador de seguridad de Aqua, Ilay Goldman. dicho en un informe publicado la semana pasada.
Extensiones de VS Code, seleccionadas a través de un mercado puestos a disposición por Microsoft, permiten a los desarrolladores agregar lenguajes de programación, depuradores y herramientas al editor de código fuente de VS Code para aumentar sus flujos de trabajo.
«Todas las extensiones se ejecutan con los privilegios del usuario que ha abierto VS Code sin ninguna zona de pruebas», dijo Goldman, explicando los riesgos potenciales de usar extensiones de VS Code. «Esto significa que la extensión puede instalar cualquier programa en su computadora, incluidos ransomwares, limpiaparabrisas y más».
Con ese fin, Aqua descubrió que no solo es posible que un actor de amenazas se haga pasar por una extensión popular con pequeñas variaciones en la URL, el mercado también permite que el adversario use el mismo nombre y los detalles del editor de la extensión, incluida la información del repositorio del proyecto.
Si bien el método no permite replicar la cantidad de instalaciones y la cantidad de estrellas, el hecho de que no haya restricciones en las otras características de identificación significa que podría usarse para engañar a los desarrolladores.
La investigación también descubrió que la insignia de verificación asignada a los autores podría pasarse por alto trivialmente, ya que la marca de verificación solo prueba que el editor de la extensión es el propietario real de un dominio.
En otras palabras, un actor malicioso podría comprar cualquier dominio, registrarlo para obtener una marca de verificación verificada y, en última instancia, cargar una extensión troyana con el mismo nombre que la legítima en el mercado.
Una extensión de prueba de concepto (PoC) que se hace pasar por el más bonita La utilidad de formato de código acumuló más de 1000 instalaciones en 48 horas por parte de desarrolladores de todo el mundo, dijo Aqua. desde entonces ha sido derribados.
Esta no es la primera vez que se plantean preocupaciones sobre las amenazas de la cadena de suministro de software en el mercado de extensiones de VS Code.
En mayo de 2021, la empresa de seguridad empresarial Snyk descubrió una serie de fallas de seguridad en las extensiones populares de VS Code con millones de descargas que podrían haber sido objeto de abuso por parte de los actores de amenazas para comprometer los entornos de los desarrolladores.
«Los atacantes trabajan constantemente para expandir su arsenal de técnicas que les permitan ejecutar códigos maliciosos dentro de la red de organizaciones», dijo Goldman.