VSCode paplašinājuma draudi: datu zādzības, slepenas aizmugurējās durvis un blokķēdes darbināms RAT

Sākums » Pitons » VSCode paplašinājuma draudi: datu zādzības, slepenas aizmugurējās durvis un blokķēdes darbināms RAT

Izstrādātāji arvien biežāk saskaras ar paplašinājumu radītiem riskiem redaktorā, ko viņi lieto katru dienu, un Visual Studio kods (VSCode) ir jaunāko trauksmes signālu centrā. Izmeklēšanas ir saistījušas virkni tirgus ierakstu ar agresīvu datu vākšanu, akreditācijas datu zādzībām un pat slepenu attālo piekļuvi iekārtām, ko izmanto programmatūras projektos.

Situāciju vēl delikātāku padara tas, ka saskaņā ar jaunākajiem ziņojumiem vairākas pakotnes joprojām ir lejupielādējamas, kas nozīmē, ka problēma nav teorētiska. Aktivitāte aptver oficiālo tirgu un Open VSX, izceļot, kā IDE paplašinājumu ekosistēmas ir kļuvuši par augstas vērtības mērķis piegādes ķēdes uzbrukumiem.

Ko pētnieki atklāja VS Code ekosistēmās

Vairākas komandas, tostarp HelixGuard un citi drošības pētnieki, dokumentēja vismaz duci ļaunprātīgu augšupielādētu failu Microsoft VSCode Marketplace un Open VSX platformās. Svarīgi, ka četri no tiem, kā ziņots, joprojām ir aktīvi: Kristīne-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, un sahil92552.CBE-456.

Šīs paketes sniedzas tālu aiz nekaitīgas telemetrijas. Analītiķi novēroja mašīnu identifikatoru, projektu nosaukumu zādzības, pilni avota faili, meklēšanas vēsturi redaktorā, mākslīgā intelekta tērzēšanas uzvednes, atlasītos koda fragmentus, starpliktuves saturu un pat ikdienas darba laikā uzņemtos ekrānuzņēmumus.

Viens bieži citēts datu punkts iezīmē plašāku risku: akadēmisks pētījums par ekosistēmu lēš, ka aptuveni 5.6 % no 52 880 pārbaudītajiem VSCode paplašinājumiem uzrāda aizdomīgi uzvedības modeļi — un šie potenciāli riskantie ieraksti kopā veido vairāk nekā 613 miljoni instalāciju.

Kā īsti notiek eksfiltrācija

Uzvedība atšķiras atkarībā no pakotnes, taču mērķis ir nemainīgs: iegūt sensitīvus datus, neinformējot lietotāju. Piemēram, analītiķi saka Kristīne-devops1234.scraper nosūta plašu lietotāju un projektu informācijas kopumu, tostarp visu failu saturu un IDE iekšējos vaicājumus, uzbrucēja infrastruktūrai vietnē 35.164.75.62:8080.

Tikmēr, Kodease.fyp-23-s2-08 novirza nozagtus fragmentus, izmantojot Ngrok, maskējot eksfiltrāciju kā mākslīgā intelekta stila komentāru ģenerēšanas funkciju. Pārbaudītais kods normalizē saturu (piemēram, noņemot atstarpes) un nosūta to HTTPS POST pieprasījumos, lai datplūsma saplūstu kā likumīga palīgfunkcija.

Papildus koda zādzībai ir arī novērošanas stila spraudņi. Spraudnis, kas identificēts kā BX-Dev.Blackstone-DLP tika novērota ekrānuzņēmumu uzņemšana un starpliktuves uzraudzība — kombinācija, kas var klusi izvadīt akreditācijas dati, žetoniun jutīgus patentētas loģikas fragmentus.

Pētnieki atzīmēja arī paplašinājumu ar nosaukumu VKTeam.ru kas selektīvi orientējas uz korporatīvajiem kontekstiem. Tas pārbauda VK.com domēna piederību un, ja nosacījumi atbilst, apkopo Windows domēna datus, piemēram, lietotājvārdus, resursdatora nosaukumus un sistēmas informāciju — pielāgotu vides izpēte solis

No spiegošanas līdz pilnīgai mašīnu kompromitēšanai

Vairāki ieraksti ir vērsti tālu aiz datu vākšanas un pāriet uz komandu izpildi. teste123444212.teste123444212 tiek ziņots, ka uztur pastāvīgu savienojumu ar uzbrucēju kontrolētiem AWS resursiem, faktiski nodrošinot kanālu attālināta komandu izpilde izstrādātāja mitinātājā.

Vēl viens piemērs, ToToRoManComp.diff-tool-vsc, izvieto Base64 kodētu Perl apgriezto čaulu, kas sasniedz 89.104.69.35 ostā 445, nododot interaktīvu piekļuvi, tiklīdz tas ir izveidojis savienojumu. Šāda veida lietderīgā slodze piešķir pretiniekam visaptverošu kontroli ārpus paša redaktora robežām.

Ļaunprātīga darbība, kas saistīta ar Deriv-AI.deriv-ai vēl vairāk saasinās, ielādējot un palaižot Trojas zirgu, ko dēvē par “naktsķepu”, kas nodrošina dziļāku izlūkošanu un noturīgu darbību. Remote Access uz kompromitētām sistēmām.

Atvērt VSX lietu: SleepyDuck slēpjas aiz Solidity rīka

Kopienas vadītajā Open VSX reģistrā izmeklētāji izsekoja attālās piekļuves Trojas zirgu ar iesauku SleepyDuck maskējas kā Solidity paplašinājums ar nosaukumu juan-bianco.solidity-vlangTas piesaistīja vairāk nekā 53,000 lejupielādes un palika redzams ar platformas brīdinājumu; kritiski svarīgi, ka sākotnēji iesniegšanas brīdī tas bija nekaitīgs, bet nākamajā atjauninājumā ieguva ļaunprātīgo komponentu.

SleepyDuck izcilākais triks ir noturība: tas izmanto Ethereum viedais līgums lai saglabātu un atjauninātu komandu un vadības informāciju. Ja noklusējuma C2 vietnē sleepyduckxyz pazūd, ļaunprogrammatūra var pieprasīt blokķēdei jaunas instrukcijas, tostarp jaunu servera adresi un pārskatītus aptaujas intervālus.

Aktivizācijas ceļi ir pielāgoti izstrādātāju darbplūsmām. Paplašinājums ieslēdzas redaktora startēšanas laikā, atverot Solidity failu vai izsaucot Solidity kompilēšanas komandu. Tas atmet bloķēšanas failu, lai nodrošinātu, ka tas tiek palaists vienu reizi katrā resursdatorā, un izsauc fiktīvu failu. webpack.init() no tā paplašinājuma skripta, lai saplūstu ar apkārtni, un pēc tam ielādē ļaunprātīgo lietderīgo slodzi.

Pēc inicializācijas analītiķi novēroja, ka ļaunprogrammatūra apkopo pamata sistēmas identifikatorus (resursdatora/lietotāja vārdus, MAC adresi un laika joslu) un sagatavo smilškastes vidi komandu izpildei. Tā atrod ātru Ethereum RPC galapunktu, nolasa viedlīgumu, lai noteiktu pašreizējo konfigurāciju, un ievada aptaujas ciklu, kas publicē resursdatora datus un pārbauda, ​​vai ir uzdevumi, kas jāizpilda.

Atsevišķs incidents, kas vērsts pret Solidity izstrādātājiem

Iepriekš šogad pētnieki ziņoja arī par atšķirīgu viltotu iepakojumu, kas tika marķēts kā "Soliditātes valoda" palīgs Open VSX platformā. Tas, domājams, palaida PowerShell skriptu, atinstalēja attālās piekļuves rīku un nozagja kriptovalūtu maku parolesviens attīstītājs publiski paziņoja par zaudējumiem aptuveni US $ 500,000Pirms dzēšanas ieraksts tika lejupielādēts desmitiem tūkstošu reižu, un, kā ziņots, drīz pēc tam tas atkal parādījās ar jauniem nosaukumiem.

Atkārtota viedlīgumu izstrādātāju mērķtiecīga uzlūkošana nav nejauša. Šiem lietotājiem bieži vien ir piekļuve makam un viņi mijiedarbojas ar finanšu infrastruktūru, kas viņus padara par augstas vērtības mērķi uzbrucējiem, kas vēlas ātri gūt peļņu.

Plašāka aina: mērogs un stimuli

Skaitļi rada prātu satraucošu ainu: pētījumi liecina, ka aptuveni 5.6% no 52,880 pārskatītajiem paplašinājumiem ir politikas pārkāpumu vai riskantas iezīmes, un šādu ierakstu kopējais instalāciju skaits pārsniedz 613 miljoni. Ar VSCode milzīgo ietekmi un pieaugumu Ar mākslīgo intelektu atbalstīta rīku izstrāde, apdraudējumu izpildītāji tiek mudināti slēpties pievienojumprogrammās izstrādātāji jau uzticas.

Vēl viens faktors ir privilēģijas. Paplašinājumi darbojas ar tām pašām iespējām kā redaktors — failu lasīšana, procesu palaišana un tīkla zvanu veikšana —, kas paplašina uzbrukuma rādiusu. Slēpjot eksfiltrāciju tādās funkcijās kā koda ieteikumi vai komentāru ģenerēšana, uzbrucēji var... ļaunprātīga datplūsma izskatās pēc normālas attīstības aktivitātes.

Kas komandām būtu jādara tieši tagad

Drošības līderi un individuāli izstrādātāji var samazināt atkarību ar dažiem disciplinētiem soļiem, piešķirot prioritāti redzamībai un stingriem noklusējuma iestatījumiem, kas ierobežo riskantus instalācijas procesus, vienlaikus saglabājot produktivitāti. Praktisks ... apvienojums. pārvaldība un uzraudzība rada vislielāko atšķirību.

• Veiciet instalēto paplašinājumu auditu pēc grafika; noņemiet visu nezināmo, jaunizveidoto vai ar zemu reputāciju. Apsveriet iespēju atļauto sarakstu apstiprinātiem spraudņiem.
• Uzraudzīt izejošo plūsmu no izstrādātāju galapunktiem, lai atrastu neparastus galamērķus (piemēram, zināmas C2 IP adreses, negaidītus tuneļus, piemēram, Ngrok).
• Atsauksmju paplašinājuma avotu, ja iespējams, īpaši tos, kas skar noslēpumus vai sensitīvi koda ceļi; piespraudes versijas, ja tās ir jāizmanto.
• Esiet piesardzīgs ar automātiskajiem atjauninājumiem; izsekojiet izmaiņu žurnālus un izdevēja izmaiņas, lai izvairītos no pārsteigumiem. piegādes ķēdes pagrieziena punkti.
• Nostipriniet galapunktus ar EDR/antivīrusu, lokāliem ugunsmūriem un mazāko privilēģiju aizsardzību; izolējiet būvēšanas noslēpumus un izmantojiet tos. marķiera tvēruma akreditācijas dati.
• Apmācīt izstrādātājus par paplašinājumu riskiem, izdevēju verifikāciju un aizdomīgu gadījumu ātru ziņošanu/eskalāciju redaktora uzvedība.

Tirgus atbildes un pastāvīgi uzlabojumi

Atvērtais VSX, kas kļūst arvien populārāks mākslīgā intelekta iespējotās IDE, piemēram, Cursor un Windsurf, ir paziņojis par drošības uzlabojumiem: īsāku tokenu darbības laiku, ātrāku atsaukšanu. nopludinātas akreditācijas, automatizētāku skenēšanu un uzlabotu informācijas apmaiņu ar VS Code komandu par jauniem draudiem.

Pat ar šiem soļiem ekosistēmas drošība ir mainīgs mērķis. Uzbrucēji ātri atkārtojas; viņi maina pakotņu zīmolus, ievieto kaitīgus atjauninājumus iepriekš nekaitīgiem projektiem un maskē datplūsmu ar aizsegu. izstrādātāju ērtībasJoprojām ir svarīgi nodrošināt sabiedrības modrību un ātru darbību apturēšanu.

Abos tirgos nesenie gadījumi parāda, kā eksfiltrāciju var padarīt par likumīgām funkcijām un kā aizmugurējās durvis var pastāvēt, gudri izmantojot blokķēdes C2, apgrieztās čaulas un mākoņa releji. Apstrādājiet katru paplašinājumu kā kodu savā piegādes ķēdē un validējiet to ar tādu pašu stingrību, kādu piemērojat atkarībām.

Šie atklājumi norāda uz vienkāršu, bet neapspriežamu nostāju: uztveriet redaktoru kā daļu no savas drošības robežas. Tā kā joprojām ir pieejami vairāki ļaunprātīgi VSCode paplašinājumi, ir ziņojumi par Ethereum atbalstītu C2 un pierādījumi, ka izmērāma ekosistēmas daļa var būt riskanta, komandas, kas ievieš auditus, atļauju sarakstus, tīkla uzraudzību un izstrādātāju apmācību, būs vislabākajā pozīcijā, lai saglabātu pirmkods un akreditācijas dati no uzbrucēja rokām.

saistīto rakstu:

ReversingLabs atklāj, ka uzbrucēji ļaunprātīgi izmantoja Ethereum viedos līgumus, lai paslēptu npm ļaunprogrammatūru