微軟 VSCode 現惡意擴展,已被下載近5萬次
Check Point最近發現,網絡攻擊者在微軟的 VSCode Marketplace中上傳了3個惡意擴展,并被Windows 開發人員下載了 46600 次。
Check Point稱,攻擊者能夠利用這些惡意擴展竊取憑據、系統信息,并在受害者的機器上建立遠程 shell。
Check Point 發現的3個惡意擴展如下:
Theme Darcula dark——被描述為“嘗試提高 VS Code 上的 Dracula 顏色一致性”。此擴展用于竊取有關開發人員系統的基本信息,包括主機名、操作系統、CPU 平臺、總內存和有關中央處理器。到被發現時,該擴展程序已被下載超過 45000 次。
python-vscode——對其代碼的分析表明,這是一個 C# shell 注入器,可以在開發人員的設備上執行代碼或命令。
prettiest java——根據描述,很可能是為了仿冒流行的“ prettier-java ”代碼格式化工具而創建,但實際上卻能從 Discord、谷歌 Chrome、Opera、Brave 瀏覽器和 Yandex 瀏覽器竊取保存在上面的憑證或身份驗證令牌,然后通過 Discord webhook 將其發送給攻擊者。
除此以外,Check Point 還發現了多個可疑擴展,這些擴展不能確定為惡意,但表現出不安全的行為,例如從私有存儲庫中獲取代碼或下載文件。
Check Point已經將情況報告給了微軟,5月14日,VSCode從市場中刪除了這3個惡意擴展。但任何仍在使用惡意擴展的軟件開發人員必須手動將它們從系統中刪除,并運行完整掃描以檢測感染的任何殘余。
軟件存儲庫的安全風險
Visual Studio Code (VSC) 是微軟發布的源代碼編輯器, 全球很大一部分專業軟件開發人員都是其用戶。微軟還為 IDE 運營一個名為 VSCode Marketplace 的擴展市場,里面提供了超過 50000 個擴展應用程序功能,并提供更多自定義選項的附加組件。
雖然允許用戶上傳的軟件存儲庫(例如 NPM 和 PyPi)已經一次又一次地被證明存在安全風險,但針對VSCode Marketplace的惡意軟件滲透還沒有太多先例。而AquaSec 已在 1 月份證明,將惡意擴展上傳到 VSCode Marketplace 相當容易,并提出了一些高度可疑的案例,但是最終沒能找到任何確鑿的惡意程序。
Check Point 發現的案例表明,如同攻擊者在NPM 和 PyPI 等軟件存儲庫中的做法,他們正積極嘗試通過上傳惡意程序感染 Windows 開發人員,Check Point 建議 VSCode Marketplace 和其他所有支持用戶上傳的軟件存儲庫用戶,在下載時僅選擇可信、下載量大且擁有較好社區評分的程序。
