一组以色列研究人员探索了 Visual Studio Code 市场的安全性,并通过对流行的“Dracula Official”主题的副本进行木马病毒感染,以包含危险代码,成功“感染”了 100 多个组织。对 VSCode 市场的进一步研究发现了数千个扩展程序,安装量达数百万次。
Visual Studio Code(VSCode)是微软发布的一款源代码编辑器,被全球众多专业软件开发人员使用。
微软还运营一个 IDE 的扩展市场,称为 Visual Studio Code Marketplace,它提供可扩展程序功能并提供更多自定义选项的附加组件。
先前的报告强调了 VSCode 的安全性漏洞,允许扩展程序发布者冒充以及窃取开发人员身份验证令牌的扩展,还有一些在野外发现的扩展被证实是恶意目的。
对 Dracula 主题进行域名抢注
在最近的实验中,研究人员Amit Assaraf、Itay Kruk 和 Idan Dardikman创建了一个扩展,对“ Dracula Official ”主题进行了域名抢注,该主题是各种应用程序的流行配色方案,在 VSCode 市场上安装量超过 700 万次。
Darcula 因其视觉上吸引人的暗黑模式和高对比度的调色板而被大量开发人员使用,这对眼睛很友好,有助于减少长时间编码期间的眼睛疲劳。
研究中使用的虚假扩展名为“Darcula”,研究人员甚至在“darculatheme.com”注册了一个匹配的域名。该域名被用来成为 VSCode 市场上经过验证的发布者,从而增加了虚假扩展的可信度。
VSCode 市场上的 Darcula 扩展
他们的扩展使用了合法 Darcula 主题的实际代码,但还包括一个附加脚本,用于收集系统信息,包括主机名、已安装的扩展数量、设备的域名和操作系统平台,并通过 HTTPS POST 请求将其发送到远程服务器。
研究人员指出,恶意代码不会被端点检测和响应 (EDR) 工具标记,因为 VSCode 作为开发和测试系统的性质而受到宽大处理。
该扩展程序迅速获得关注,被多个高价值目标错误地安装,其中包括一家市值 4830 亿美元的上市公司、大型安全公司和一个国家司法法院网络。
研究人员选择不透露受影响公司的名称。
由于该实验没有恶意,分析师仅收集了识别信息,并在扩展的自述文件、许可证和代码中包含了披露。
Darcula 在 VSC Marketplace 上发布帖子 24 小时后受害者的位置
VSCode 市场现状
实验成功后,研究人员决定深入研究 VSCode 市场的威胁状况,使用他们开发的名为“ExtensionTotal”的自定义工具来查找高风险扩展、解包并仔细检查可疑的代码片段。
通过这一过程,他们发现:
-
1,283 个含有已知恶意代码(2.29 亿次安装)。
-
8,161 个使用硬编码 IP 地址进行通信。
-
1,452 个正在运行未知的可执行文件。
-
2,304 个正在使用其他发布者的 Github repo,表明他们是模仿者。
下面是在恶意 Visual Studio Code Marketplace 扩展中发现的代码示例,该扩展会打开网络犯罪分子服务器的反向 shell。
在代码美化扩展 (CWL Beautifer) 中发现的反向 shell
微软对 VSCode 市场缺乏严格的控制和代码审查机制,这使得攻击者可以肆意滥用该平台,而且随着平台使用的增多,情况会变得越来越糟。
研究人员警告说:“从数字可以看出,Visual Studio Code 市场上有大量的扩展对组织构成风险。”
“VSCode 扩展是一种被滥用和暴露的攻击垂直领域,具有零可见性、高影响和高风险。这个问题对组织构成了直接威胁,值得安全社区的关注。”
研究人员检测到的所有恶意扩展都已负责任地报告给 Microsoft 以进行删除。然而,截至撰写本文时,绝大多数扩展仍可通过 VSCode Marketplace 下载。
研究人员计划下周发布他们的“ExtensionTotal”工具以及有关其操作能力的详细信息,并将其作为免费工具发布,以帮助开发人员扫描他们的环境以发现潜在威胁。
