VSCode Marketplace, un repository per le estensioni di Visual Studio Code (VSC), ha difese di sicurezza deboli, lasciando gli attori delle minacce ad abusare e distribuire codice dannoso ai suoi milioni di utenti, hanno avvertito gli specialisti.
Un rapporto AquaSec ha testato la piattaforma e ha concluso che l'uso improprio per fornire malware (si apre in una nuova scheda) è stato ridicolmente facile.
Inoltre, gli studiosi affermano di non essere stati i primi a notare le vulnerabilità: alcuni attori della minaccia erano già attivi.
Spoofing di dettagli importanti
In un post sul blog (si apre in una nuova scheda), il team di AquaSec ha spiegato come hanno tentato di scaricare una versione dannosa e tipografica di un'estensione popolare con ventisette milioni di download.
Si è reso conto che il malware non aveva nemmeno bisogno di un errore di battitura: la piattaforma ha una funzione chiamata "displayName" che consente agli autori di nominare le loro estensioni come vogliono; il nome non deve essere univoco. Pertanto, l'hanno chiamato esattamente come il legale.
Poi si sono resi conto che potevano anche utilizzare lo stesso logo e la stessa descrizione del progetto legale.
Inoltre, i dettagli, sebbene estratti da GitHub, potrebbero essere spostati in un secondo momento. Ciò significa che gli aggressori possono semplicemente falsificare i dettagli del progetto e presentare il malware come uno strumento legittimo con una lunga storia di sviluppo. L'unica cosa che non poteva essere falsificata era il numero di download e il ranking di ricerca.
"Tuttavia, nel tempo, un numero crescente di utenti ignoranti avrà scaricato la nostra estensione fasulla. Man mano che questi numeri aumentano, l'estensione acquisirà credibilità", ha affermato AquaSec. "Inoltre, poiché sul dark web è possibile acquistare più servizi, un utente malintenzionato troppo zelante potrebbe potenzialmente manipolare questi numeri acquistando servizi che aumenterebbero il numero di download e stelle."
AquaSec ha anche esaminato il badge di verifica sul VSCode Marketplace e ha concluso che la funzione non ha senso, poiché qualsiasi post con un dominio acquistato ne ottiene uno, indipendentemente dalla rilevanza del dominio per il progetto software.
Sebbene i ricercatori abbiano eseguito solo un test a termine, hanno anche trovato un vero codice dannoso in agguato nel negozio. Questi sono chiamati "API Generator Plugin" e "Code Tester".
Visual Studio Code è l'editor di codice sorgente di Microsoft, utilizzato da circa il XNUMX% degli sviluppatori di software professionisti in tutto il mondo, secondo BleepingComputer. Le estensioni possono essere utilizzate per installare plug-in, rubare il codice sorgente o modificarlo nell'IDE VSCode.
Via: BleepingComputer (si apre in una nuova scheda)