最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

VSCode Marketplace可能被滥用来托管恶意扩展

网络安全 快米云 来源:https://my.28u.cc 18浏览

红色漩涡中的 VSCode 标志

研究人员发现将恶意 Visual Studio Code 扩展上传到 VSCode Marketplace 非常容易,并发现了威胁行为者已经利用此弱点的迹象。

Visual Studio Code (VSC) 是 Microsoft 发布的源代码编辑器,全球大约 70%的专业软件开发人员都在使用它。

Microsoft 还为 IDE 运营一个扩展市场,称为 VSCode Marketplace,它提供扩展应用程序功能并提供更多自定义选项的附加组件。

其中一些扩展有数千万次下载,因此如果有一种简单的方法可以在平台上欺骗它们,恶意行为者可以迅速获得可观数量的受害者。

这些扩展以用户权限在受感染的机器上运行,可用于安装其他程序、窃取或篡改 VSCode IDE 中的源代码,甚至使用开发人员的 SSH 密钥访问连接的 GitHub 存储库。

根据 AquaSec的一份新报告,研究人员发现将恶意扩展上传到 Microsoft 的 Visual Studio Code Marketplace 相当容易,并且已经发现了一些非常可疑的现有扩展。

分发恶意扩展

作为向 VSCode 市场上传恶意扩展的实验,AquaSec 团队试图“抢注”一个名为“Prettier”的流行代码格式化扩展该扩展的下载量超过 2700 万。

然而,在创建扩展时,他们发现可以重用真实扩展的徽标和描述,并为其命名为与真实扩展相同的名称。

真扩展(左)和假扩展(右)
真实扩展(左)和假扩展(右) (AquaSec)

显然,发布者可以使用名为“displayName”的属性,因此出现在市场页面上的附加组件的名称不必是唯一的。

关于显示 GitHub 统计信息的项目详细信息,AquaSec 发现该部分是从 GitHub 自动更新的。但是,发布者仍然可以自由编辑统计数据,因此可以修改这些数据以营造具有悠久发展历史的活跃项目的感觉。

这不允许假扩展以相同的下载次数和相同的搜索排名列出,但研究人员可以复制合法扩展的 GitHub 项目名称、上次提交时间、拉取请求和未解决的问题。

“然而,随着时间的推移,越来越多的不知情用户会下载我们的假扩展程序。随着这些数字的增长,扩展程序将获得可信度,”AquaSec 研究人员解释说。

“此外,由于在暗网中可以购买各种服务,因此非常坚定的攻击者可能会通过购买服务来操纵这些数字,从而增加下载量和星级。”

最后,分析师发现平台上的验证徽章几乎没有任何意义,因为任何购买了任何域名的出版商在证明域名所有权时都会得到蓝色勾号。域甚至不必与软件项目相关。

由 AquaSec 创建的概念验证 (PoC) 扩展在 48 小时内获得了 1,500 多个安装,全球“受害者”开发人员。

下载虚假扩展程序的开发者地图
下载假扩展程序的开发人员地图 (AquaSec)

可疑的 VSCode 扩展已经存在

AquaSec 不仅证明了可以模仿 VSCode Marketplace 上的流行扩展,而且还发现了已经上传到市场的可疑示例。

其中两个名为“API Generator Plugin”和“code-tester”的扩展表现出非常令人担忧的行为,每 30 秒向外部 robotnowai.top URL 发送 HTTP 请求并使用“eval()”函数执行响应。

代码测试器代码
“代码测试器”代码的 一部分 (AquaSec)

这种信息交换发生在 HTTP 上,因此甚至没有加密,因此开发人员的流量容易受到中间人攻击。

根据VirusTotal VirusTotal,robotnowai.top 域托管在一​​个 IP 地址上,该地址长期以来一直在分发恶意文件,包括 VBS 和 PowerShell 脚本以及 Windows、Linux 和 Android 恶意软件。

AquaSec 向 Microsoft 报告了这两个扩展,但在撰写本文时它们仍在市场上销售。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » VSCode Marketplace可能被滥用来托管恶意扩展