Extensions VSCode malveillantes avec des millions d’installations détectées | Dmshaulers

Extensions VSCode malveillantes avec des millions d'installations détectées

Un groupe de chercheurs israéliens a exploré la sécurité du marché Visual Studio Code et a réussi à « infecter » plus de 100 organisations en trojanisant une copie du populaire « thème officiel Dracula » pour inclure du code à risque. Des recherches plus approfondies sur VSCode Marketplace ont révélé des milliers d’extensions avec des millions d’installations.

Visual Studio Code (VSCode) est un éditeur de code source publié par Microsoft et utilisé par de nombreux développeurs de logiciels professionnels dans le monde entier.


Microsoft exploite également un marché d’extensions pour l’EDI, appelé Visual Studio Code Marketplace, qui propose des modules complémentaires qui étendent les fonctionnalités de l’application et offrent davantage d’options de personnalisation.

Des rapports précédents ont mis en évidence des failles dans la sécurité de VSCode qui permettent l’usurpation d’identité d’extension et d’éditeur, ainsi que des extensions qui volent les jetons d’authentification des développeurs. Il y a également eu des découvertes dans la nature qui ont été confirmées comme étant malveillantes.

Typosquatting du thème Dracula

Pour leur récente expérience, des chercheurs Amit Assaraf, Itay Kruk et Idan Dardikmancréé une extension qui orthographie mal ‘Fonctionnaire de Dracula‘, une palette de couleurs populaire pour diverses applications qui compte plus de 7 millions d’installations sur le VSCode Marketplace.

Dracula est utilisé par un grand nombre de développeurs en raison de son mode sombre visuellement attrayant avec une palette de couleurs à contraste élevé qui est agréable pour les yeux et aide à réduire la fatigue oculaire lors de longues sessions de codage.

La fausse extension utilisée dans l’étude s’appelait « Darcula » et les chercheurs ont même enregistré un domaine correspondant sur « darculatheme.com ». Ce domaine a été utilisé pour devenir un éditeur vérifié sur VSCode Marketplace, ajoutant ainsi de la crédibilité à la fausse extension.

L’extension Darcula sur le Marketplace VSCode
Source : Amit Assaraf | Moyen

Leur extension utilise le code réel du thème Darcula légitime, mais inclut également un script supplémentaire qui collecte des informations système, notamment le nom d’hôte, le nombre d’extensions installées, le nom de domaine de l’appareil et la plate-forme du système d’exploitation, et les envoie à un serveur distant. serveur via une requête HTTPS POST.

Code risqué ajouté à l’extension Darcula
Source : Amit Assaraf | Moyen

Les chercheurs notent que le code malveillant n’est pas signalé par les outils de détection et de réponse des points finaux (EDR), car VSCode est traité avec indulgence en raison de sa nature de système de développement et de test.

“Malheureusement, les outils traditionnels de sécurité des points finaux (EDR) ne détectent pas cette activité (comme nous avons démontré des exemples de RCE pour certaines organisations au cours du processus de divulgation responsable), VSCode est conçu pour lire de nombreux fichiers, exécuter de nombreuses commandes et créer des processus enfants. . Les EDR ne peuvent donc pas comprendre si l’activité de VSCode est une activité de développeur légitime ou une extension malveillante. – Amit Assaraf

L’extension a rapidement gagné du terrain et a été installée par erreur par plusieurs cibles de grande valeur, notamment une société cotée en bourse avec une capitalisation boursière de 483 milliards de dollars, de grandes sociétés de sécurité et un réseau judiciaire national.

Les chercheurs ont choisi de ne pas divulguer les noms des entreprises concernées.

Étant donné que l’expérience n’avait aucune intention malveillante, les analystes ont collecté uniquement des informations d’identification et ont inclus une divulgation dans le fichier Lisez-moi, la licence et le code de l’extension.

Localisation des victimes 24 heures après la publication de Darcula sur le VSC Marketplace
Source : Amit Assaraf | Moyen

Statut du marché VSCode

Après l’expérience réussie, les chercheurs ont décidé d’approfondir le paysage des menaces sur le marché VSCode, en utilisant un outil personnalisé qu’ils ont développé appelé « ExtensionTotal » pour trouver les extensions à haut risque, les décompresser et enquêter sur les morceaux de code suspects.

Grâce à ce processus, ils ont trouvé ce qui suit :

  • 1 283 avec un code malveillant connu (229 millions d’installations).
  • 8.161 communique avec des adresses IP codées en dur.
  • 1 452 exécuter des fichiers exécutables inconnus.
  • 2 304 qui utilise le dépôt Github d’un autre éditeur, indiquant qu’il s’agit d’un copieur.

Vous trouverez ci-dessous un exemple de code trouvé dans une extension malveillante de Visual Studio Code Marketplace qui ouvre un shell inversé sur le serveur du cybercriminel.

A l’inverse, doit être trouvé dans un code embellissant l’extension (CWL Beautifer)
Source : Amit Assaraf | Moyen

Le manque de contrôles stricts et de mécanismes de révision du code par Microsoft sur VSCode Marketplace permet aux acteurs malveillants de commettre des abus généralisés sur la plate-forme, et cela s’aggrave à mesure que la plate-forme devient plus largement utilisée.

“Comme vous pouvez le constater par les chiffres, il existe une multitude d’extensions qui présentent des risques pour les organisations sur le marché de Visual Studio Code”, préviennent les chercheurs.

« Les extensions VSCode constituent un secteur d’attaque vertical abusé et exposé, avec une visibilité nulle, un impact élevé et un risque élevé. Ce problème constitue une menace directe pour les organisations et mérite l’attention de la communauté de la sécurité.

Toutes les extensions malveillantes découvertes par les chercheurs ont été signalées de manière responsable à Microsoft pour suppression. Cependant, au moment d’écrire ces lignes, la grande majorité est toujours disponible en téléchargement via VSCode Marketplace.

Les chercheurs prévoient de publier leur outil « ExtensionTotal », ainsi que des détails sur ses capacités opérationnelles, la semaine prochaine, et de le publier en tant qu’outil gratuit pour aider les développeurs à analyser leurs environnements à la recherche de menaces potentielles.

BleepingComputer a contacté Microsoft pour lui demander s’il prévoyait de réviser la sécurité de Visual Studio Marketplace et d’introduire des mesures supplémentaires qui rendraient les fautes de frappe et l’usurpation d’identité plus difficiles, mais nous n’avons pas reçu de réponse au moment de la publication.

Leave a Reply

Your email address will not be published. Required fields are marked *