(資料圖)
Check Point最近發(fā)現(xiàn),網(wǎng)絡(luò)攻擊者在微軟的 VSCode Marketplace中上傳了3個惡意擴(kuò)展,并被Windows 開發(fā)人員下載了 46600 次。
Check Point稱,攻擊者能夠利用這些惡意擴(kuò)展竊取憑據(jù)、系統(tǒng)信息,并在受害者的機(jī)器上建立遠(yuǎn)程 shell。
Check Point 發(fā)現(xiàn)的3個惡意擴(kuò)展如下:
Theme Darcula dark——被描述為“嘗試提高 VS Code 上的 Dracula 顏色一致性”。此擴(kuò)展用于竊取有關(guān)開發(fā)人員系統(tǒng)的基本信息,包括主機(jī)名、操作系統(tǒng)、CPU 平臺、總內(nèi)存和有關(guān)中央處理器。到被發(fā)現(xiàn)時,該擴(kuò)展程序已被下載超過 45000 次。python-vscode——對其代碼的分析表明,這是一個 C# shell 注入器,可以在開發(fā)人員的設(shè)備上執(zhí)行代碼或命令。prettiest java——根據(jù)描述,很可能是為了仿冒流行的“ prettier-java ”代碼格式化工具而創(chuàng)建,但實際上卻能從 Discord、谷歌 Chrome、Opera、Brave 瀏覽器和 Yandex 瀏覽器竊取保存在上面的憑證或身份驗證令牌,然后通過 Discord webhook 將其發(fā)送給攻擊者。除此以外,Check Point 還發(fā)現(xiàn)了多個可疑擴(kuò)展,這些擴(kuò)展不能確定為惡意,但表現(xiàn)出不安全的行為,例如從私有存儲庫中獲取代碼或下載文件。
Check Point已經(jīng)將情況報告給了微軟,5月14日,VSCode從市場中刪除了這3個惡意擴(kuò)展。但任何仍在使用惡意擴(kuò)展的軟件開發(fā)人員必須手動將它們從系統(tǒng)中刪除,并運(yùn)行完整掃描以檢測感染的任何殘余。
軟件存儲庫的安全風(fēng)險Visual Studio Code (VSC) 是微軟發(fā)布的源代碼編輯器,全球很大一部分專業(yè)軟件開發(fā)人員都是其用戶。微軟還為 IDE 運(yùn)營一個名為 VSCode Marketplace 的擴(kuò)展市場,里面提供了超過 50000 個擴(kuò)展應(yīng)用程序功能,并提供更多自定義選項的附加組件。
雖然允許用戶上傳的軟件存儲庫(例如 NPM 和 PyPi)已經(jīng)一次又一次地被證明存在安全風(fēng)險,但針對VSCode Marketplace的惡意軟件滲透還沒有太多先例。而AquaSec 已在 1 月份證明,將惡意擴(kuò)展上傳到 VSCode Marketplace 相當(dāng)容易,并提出了一些高度可疑的案例,但是最終沒能找到任何確鑿的惡意程序。
Check Point 發(fā)現(xiàn)的案例表明,如同攻擊者在NPM 和 PyPI 等軟件存儲庫中的做法,他們正積極嘗試通過上傳惡意程序感染 Windows 開發(fā)人員,Check Point 建議 VSCode Marketplace 和其他所有支持用戶上傳的軟件存儲庫用戶,在下載時僅選擇可信、下載量大且擁有較好社區(qū)評分的程序。
標(biāo)簽: