Μια ομάδα Ισραηλινών ερευνητών διερεύνησε την ασφάλεια του Visual Studio Code και κατάφερε να «μολύνει» περισσότερους από 100 οργανισμούς, κάνοντας trojanizing ένα αντίγραφο του δημοφιλούς θέματος «Dracula Official» για να συμπεριλάβει επικίνδυνο κώδικα. Περαιτέρω έρευνα στο VSCode Marketplace βρήκε χιλιάδες κακόβουλες επεκτάσεις με εκατομμύρια λήψεις.
Δείτε επίσης: Το νέο RAT malware AllaSenha στοχεύει τράπεζες στη Βραζιλία
Το Visual Studio Code (VSCode) είναι ένα πρόγραμμα επεξεργασίας πηγαίου κώδικα που δημοσιεύεται από τη Microsoft και χρησιμοποιείται από πολλούς επαγγελματίες προγραμματιστές λογισμικού παγκοσμίως. Η Microsoft λειτουργεί επίσης μια αγορά επεκτάσεων για το IDE, που ονομάζεται Visual Studio Code Marketplace, η οποία προσφέρει πρόσθετα που επεκτείνουν τη λειτουργικότητα της εφαρμογής και παρέχουν περισσότερες επιλογές προσαρμογής.
Προηγούμενες αναφορές έχουν επισημάνει κενά στην ασφάλεια του VSCode, επιτρέποντας την πλαστοπροσωπία της επέκτασης και του εκδότη και τις επεκτάσεις που κλέβουν διακριτικά ελέγχου ταυτότητας προγραμματιστή. Υπήρξαν επίσης ευρήματα που επιβεβαιώθηκε ότι ήταν κακόβουλα.
Για το πρόσφατο πείραμά τους, οι ερευνητές Amit Assaraf, Itay Kruk και Idan Dardikman, δημιούργησαν μια κακόβουλη επέκταση που αντικαθιστά τυπογραφικά το θέμα «Dracula Official», ένα δημοφιλές συνδυασμό χρωμάτων για διάφορες εφαρμογές που έχει πάνω από 7 εκατομμύρια λήψεις στο VSCode Marketplace.
Το Dracula χρησιμοποιείται από μεγάλο αριθμό προγραμματιστών λόγω της οπτικά ελκυστικής σκοτεινής λειτουργίας του, με μια χρωματική παλέτα υψηλής αντίθεσης, η οποία είναι εύχρηστη και συμβάλλει στη μείωση της καταπόνησης των ματιών κατά τη διάρκεια μεγάλων συνεδριών προγραμματισμού.
Δείτε ακόμα: Κυβερνοεγκληματίες καταχρώνται το Stack Overflow για διανομή malware
Η ψεύτικη επέκταση που χρησιμοποιήθηκε στην έρευνα ονομάστηκε «Darcula» και οι ερευνητές κατοχύρωσαν ακόμη και έναν αντίστοιχο τομέα στο «darculatheme.com». Αυτός ο τομέας χρησιμοποιήθηκε για να γίνει επαληθευμένος εκδότης στο VSCode Marketplace, προσθέτοντας αξιοπιστία στην κακόβουλη επέκταση.
Η επέκτασή τους χρησιμοποιεί τον πραγματικό κώδικα από το νόμιμο θέμα Darcula, αλλά περιλαμβάνει επίσης ένα πρόσθετο σενάριο που συλλέγει πληροφορίες συστήματος, συμπεριλαμβανομένου του ονόματος κεντρικού υπολογιστή, του αριθμού εγκατεστημένων επεκτάσεων, του ονόματος τομέα της συσκευής και της πλατφόρμας του λειτουργικού συστήματος, και τις στέλνει σε έναν απομακρυσμένο διακομιστή μέσω HTTPS POST.
Οι ερευνητές σημειώνουν ότι ο κακόβουλος κώδικας δεν επισημαίνεται από τα εργαλεία εντοπισμού και απόκρισης τελικού σημείου (EDR), καθώς το VSCode αντιμετωπίζεται με επιείκεια λόγω της φύσης του ως συστήματος ανάπτυξης και δοκιμής.
Η επέκταση κέρδισε γρήγορα την προσπχή, καθώς εγκαταστάθηκε κατά λάθος από πολλούς στόχους υψηλής αξίας, συμπεριλαμβανομένης μιας εταιρείας με κεφαλαιοποίηση 483 δισεκατομμυρίων δολαρίων, μεγάλων εταιρειών ασφαλείας και ενός δικτύου εθνικών δικαστηρίων. Οι ερευνητές επέλεξαν να μην αποκαλύψουν τα ονόματα των εταιρειών που επηρεάστηκαν.
Δεδομένου ότι το πείραμα δεν είχε κακόβουλη πρόθεση, οι αναλυτές συνέλεξαν μόνο πληροφορίες ταυτοποίησης από τις κακόβουλες επεκτάσεις VSCode και συμπεριέλαβαν μια αποκάλυψη στην επέκταση Read Me, την άδεια και τον κωδικό της επέκτασης.
Δείτε επίσης: Google Play: Anatsa banking trojan και κακόβουλες εφαρμογές με εκατ. λήψεις
Οι κακόβουλες επεκτάσεις αποτελούν σημαντικές απειλές για την ασφάλεια και το απόρρητο των χρηστών του Διαδικτύου. Αυτές οι επεκτάσεις, συχνά μεταμφιεσμένες ως νόμιμα εργαλεία, μπορούν να διεισδύσουν σε προγράμματα περιήγησης και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, ιστορικό περιήγησης και οικονομικά δεδομένα. Μόλις εγκατασταθούν, μπορούν να χειριστούν την επισκεψιμότητα στον ιστό, να εισάγουν κακόβουλες διαφημίσεις και ακόμη και να ανακατευθύνουν τους χρήστες σε ιστότοπους ηλεκτρονικού phishing. Οι χρήστες πρέπει να είναι προσεκτικοί κάνοντας λήψη επεκτάσεων μόνο από αξιόπιστες πηγές, ενημερώνοντας τακτικά το λογισμικό τους και εξετάζοντας τα αιτήματα αδειών για τον μετριασμό των κινδύνων που σχετίζονται με κακόβουλες επεκτάσεις.
Πηγή: bleepingcomputer
