Un nouveau vecteur d’attaque ciblant le marché des extensions Visual Studio Code pourrait être exploité pour télécharger des extensions malveillantes se faisant passer pour leurs homologues légitimes dans le but de monter des attaques sur la chaîne d’approvisionnement.
La technique « pourrait servir de point d’entrée pour une attaque contre de nombreuses organisations », a déclaré Ilay Goldman, chercheur en sécurité chez Aqua. m’a dit dans un rapport publié la semaine dernière.
Extensions VS Code, organisées via un marché mis à disposition par Microsoft, permettent aux développeurs d’ajouter des langages de programmation, des débogueurs et des outils à l’éditeur de code source VS Code pour augmenter leurs flux de travail.
« Toutes les extensions s’exécutent avec les privilèges de l’utilisateur qui a ouvert le VS Code sans aucune sandbox », a déclaré Goldman, expliquant les risques potentiels liés à l’utilisation des extensions VS Code. « Cela signifie que l’extension peut installer n’importe quel programme sur votre ordinateur, y compris les ransomwares, les essuie-glaces, etc. »
À cette fin, Aqua a constaté que non seulement il est possible pour un acteur de la menace d’usurper l’identité d’une extension populaire avec de petites variations de l’URL, mais le marché permet également à l’adversaire d’utiliser le même nom et les mêmes détails sur l’éditeur de l’extension, y compris les informations sur le référentiel du projet.
Bien que la méthode ne permette pas de répliquer le nombre d’installations et le nombre d’étoiles, le fait qu’il n’y ait aucune restriction sur les autres caractéristiques d’identification signifie qu’elle pourrait être utilisée pour tromper les développeurs.
La recherche a également découvert que le badge de vérification attribué aux auteurs pouvait être trivialement contourné car la coche prouve uniquement que l’éditeur de l’extension est le véritable propriétaire d’un domaine.
En d’autres termes, un acteur malveillant pourrait acheter n’importe quel domaine, l’enregistrer pour obtenir une coche vérifiée, et finalement télécharger une extension cheval de Troie portant le même nom que celui d’une extension légitime sur le marché.
Une extension de preuve de concept (PoC) se faisant passer pour le Plus jolie L’utilitaire de formatage de code a accumulé plus de 1 000 installations en 48 heures par des développeurs du monde entier, a déclaré Aqua. C’est depuis démonté.
Ce n’est pas la première fois que des inquiétudes sont soulevées concernant les menaces de la chaîne d’approvisionnement logicielle sur le marché des extensions de code VS.
En mai 2021, la société de sécurité d’entreprise Snyk a découvert un certain nombre de failles de sécurité dans les extensions populaires de VS Code avec des millions de téléchargements qui auraient pu être exploités par des acteurs malveillants pour compromettre les environnements de développement.
« Les attaquants s’efforcent constamment d’étendre leur arsenal de techniques leur permettant d’exécuter du code malveillant à l’intérieur du réseau des organisations », a déclaré Goldman.