Um grupo de pesquisadores israelenses explorou a segurança do mercado do Visual Studio Code e conseguiu "infectar" mais de 100 organizações ao trojanizar uma cópia do popular tema 'Dracula Official', incluindo código arriscado.
Pesquisas subsequentes no VSCode Marketplace encontraram milhares de extensões com milhões de instalações.
Visual Studio Code (VSCode) é um editor de código-fonte publicado pela Microsoft e usado por muitos desenvolvedores de software profissionais em todo o mundo.
A Microsoft também opera um mercado de extensões para o IDE, chamado Visual Studio Code Marketplace, que oferece complementos que estendem a funcionalidade do aplicativo e fornecem mais opções de personalização.
Relatórios anteriores destacaram lacunas na segurança do VSCode, permitindo a imitação de extensão e publicador, além de extensões que roubam tokens de autenticação de desenvolvedores.
Também foram encontradas e confirmadas ameaças ativas consideradas maliciosas.
Para o experimento recente, os pesquisadores Amit Assaraf, Itay Kruk e Idan Dardikman, criaram uma extensão que fazia "typosquatting" do tema 'Dracula Official', um esquema de cores popular para várias aplicações que tem mais de 7 milhões de instalações no VSCode Marketplace.
O tema Dracula é usado por um grande número de desenvolvedores devido ao seu modo escuro visualmente agradável com uma paleta de cores de alto contraste, que é fácil para os olhos e ajuda a reduzir a tensão ocular durante longas sessões de codificação.
A extensão falsa usada na pesquisa foi nomeada 'Darcula', e os pesquisadores até registraram um domínio correspondente em 'darculatheme.com'.
Este domínio foi usado para se tornarem um publicador verificado no VSCode Marketplace, adicionando credibilidade à extensão falsa.
Sua extensão usa o código real do tema Darcula legítimo, mas também inclui um script adicionado que coleta informações do sistema, incluindo o nome do host, número de extensões instaladas, nome de domínio do dispositivo e a plataforma do sistema operacional, e envia para um servidor remoto via uma requisição HTTPS POST.
Os pesquisadores observam que o código malicioso não é detectado pelas ferramentas de Endpoint Detection and Response (EDR), pois o VSCode é tratado com leniência devido à sua natureza como um sistema de desenvolvimento e teste.
A extensão rapidamente ganhou popularidade, sendo instalada por engano por vários alvos de alto valor, incluindo uma empresa listada publicamente com capital de mercado de $483 bilhões, grandes empresas de segurança e uma rede nacional de tribunais de justiça.
Os pesquisadores optaram por não divulgar os nomes das empresas impactadas.
Uma vez que o experimento não tinha intenção maliciosa, os analistas apenas coletaram informações identificáveis e incluíram uma divulgação no Read Me da extensão, na licença e no código.
Após o experimento de sucesso, os pesquisadores decidiram mergulhar na paisagem de ameaças do VSCode Marketplace, usando uma ferramenta customizada que desenvolveram chamada 'ExtensionTotal' para encontrar extensões de alto risco, descompactá-las e examinar trechos de código suspeitos.
Por meio desse processo, eles encontraram o seguinte:
1.283 com códigos maliciosos conhecidos (229 milhões de instalações).
8.161 se comunicando com endereços IP codificados.
1.452 executando executáveis desconhecidos.
2.304 usando o repositório Github de outro publicador, indicando que são imitações.
A seguir, um exemplo de código encontrado em uma extensão maliciosa do Visual Studio Code Marketplace que abre um shell reverso para o servidor do cibercriminoso.
A falta de controles rigorosos e mecanismos de revisão de código por parte da Microsoft no VSCode Marketplace permite que atores de ameaças abusem desenfreadamente da plataforma, piorando à medida que a plataforma é cada vez mais utilizada.
"Como você pode perceber pelos números, há uma infinidade de extensões que representam riscos para as organizações no marketplace do Visual Studio Code," alertaram os pesquisadores.
As extensões do VSCode são um vetor de ataque abusado e exposto, com zero visibilidade, alto impacto e alto risco.
Este problema representa uma ameaça direta às organizações e merece a atenção da comunidade de segurança.
Todas as extensões maliciosas detectadas pelos pesquisadores foram reportadas de maneira responsável à Microsoft para remoção.
No entanto, até o momento da redação deste texto, a grande maioria permanece disponível para download através do VSCode Marketplace.
Os pesquisadores planejam publicar sua ferramenta 'ExtensionTotal' junto com detalhes sobre suas capacidades operacionais na próxima semana, disponibilizando-a como uma ferramenta gratuita para ajudar os desenvolvedores a verificar seus ambientes em busca de ameaças potenciais.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...