Um grupo de pesquisadores israelenses investigou a segurança do marketplace do Visual Studio Code e conseguiu "infectar" mais de 100 organizações transformando uma cópia do popular tema 'Dracula Official' em um trojan. Outras pesquisas no VSCode Marketplace encontraram milhares de extensões com milhões de instalações.
Visual Studio Code (VSCode) é um editor de código-fonte desenvolvido pela Microsoft, amplamente utilizado por desenvolvedores de software ao redor do mundo.
A Microsoft também opera um mercado de extensões para o IDE, chamado Visual Studio Code Marketplace, que oferece complementos que ampliam a funcionalidade do aplicativo e permitem mais opções de personalização.
Relatórios anteriores destacaram falhas na segurança do VSCode, incluindo a possibilidade de representação de extensões e editores, além de extensões que roubam tokens de autenticação de desenvolvedores. Descobertas anteriores também confirmaram a presença de extensões maliciosas.
No experimento recente, os pesquisadores Amit Assaraf, Itay Kruk e Idan Dardikman criaram uma extensão que imitava o tema 'Dracula Official', um popular esquema de cores com mais de 7 milhões de instalações no VSCode Marketplace.
O tema Dracula é amplamente utilizado por desenvolvedores devido ao seu modo escuro visualmente atraente e sua paleta de cores de alto contraste, que reduz o cansaço visual durante longas sessões de codificação.
A extensão falsa usada na pesquisa foi chamada de ‘Darcula’, e os pesquisadores até registraram um domínio correspondente, ‘darculatheme.com’. Esse domínio foi utilizado para se tornar um editor verificado no VSCode Marketplace, conferindo credibilidade à extensão falsa.
A extensão utilizava o código real do tema legítimo do Dracula, mas incluía um script adicional que coletava informações do sistema, como nome do host, número de extensões instaladas, nome de domínio do dispositivo e a plataforma do sistema operacional, enviando-as para um servidor remoto por meio de uma solicitação HTTPS POST.
Código arriscado adicionado à extensão Darcula Fonte: Amit Assaraf | Médio
Os pesquisadores observaram que o código malicioso não era detectado pelas ferramentas de detecção e resposta de endpoint (EDR), já que o VSCode é tratado com leniência devido à sua natureza como sistema de desenvolvimento e teste.
"Infelizmente, as ferramentas tradicionais de segurança de endpoint (EDRs) não detectam essa atividade (como demonstramos exemplos de RCE para organizações selecionadas durante o processo de divulgação responsável). O VSCode foi desenvolvido para ler muitos arquivos, executar muitos comandos e criar processos filhos, portanto, os EDRs não conseguem distinguir se a atividade do VSCode é legítima ou maliciosa." - Amit AssarafA extensão rapidamente se disseminou, sendo instalada por vários usuários, incluindo uma empresa listada em bolsa com valor de mercado de US$ 483 bilhões, grandes empresas de segurança e uma rede de tribunais de justiça nacionais.
Os pesquisadores optaram por não divulgar os nomes das empresas impactadas.
Como o experimento não tinha intenções maliciosas, os analistas apenas coletaram informações de identificação e incluíram uma divulgação no Leia-me da extensão, na licença e no código.
Localização das vítimas 24 horas após a publicação de Darcula no VSC Marketplace Fonte: Amit Assaraf | Médio
Após o experimento bem-sucedido, os pesquisadores decidiram explorar o cenário de ameaças do VSCode Marketplace, utilizando uma ferramenta personalizada chamada ‘ExtensionTotal’ para identificar extensões de alto risco, descompactá-las e examinar trechos de código suspeitos.
Através deste processo, eles encontraram o seguinte:
1.283 extensões com código malicioso conhecido (229 milhões de instalações).
8.161 extensões comunicando-se com endereços IP codificados.
1.452 extensões executando executáveis desconhecidos.
2.304 extensões utilizando repositórios GitHub de outros editores, indicando serem imitadores.
Abaixo está um exemplo de código encontrado em uma extensão maliciosa do Visual Studio Code Marketplace que abre um shell reverso para o servidor de hackers.
Shell reverso encontrado em uma extensão de embelezamento de código (CWL Beautifer)
Fonte: Amit Assaraf | Médio
A falta de controles rigorosos e mecanismos de revisão de código da Microsoft no VSCode Marketplace permite abusos desenfreados da plataforma, que se agravam à medida que a plataforma se torna cada vez mais popular.
"Como você pode perceber pelos números, há uma infinidade de extensões que representam riscos para as organizações no marketplace do Visual Studio Code", alertaram os pesquisadores.
"As extensões VSCode são um vetor de ataque abusado e exposto, com visibilidade zero, alto impacto e alto risco. Este problema representa uma ameaça direta às organizações e merece a atenção da comunidade de segurança."
Todas as extensões maliciosas detectadas pelos pesquisadores foram relatadas de forma responsável à Microsoft para remoção. No entanto, até o momento, a grande maioria das extensões permanece disponível para download no VSCode Marketplace.
Os pesquisadores planejam publicar sua ferramenta ‘ExtensionTotal’ juntamente com detalhes sobre suas capacidades operacionais na próxima semana, lançando-a como uma ferramenta gratuita para ajudar os desenvolvedores a verificar seus ambientes em busca de potenciais ameaças.
A Microsoft ainda não emitiu nenhum comunicado sobre o assunto nem informou se planeja revisar a segurança do Visual Studio Marketplace e introduzir medidas adicionais de segurança.
Via - BC
Bình luận