Giu 10, 2024 Malware, News, RSS
Un gruppo di ricercatori israeliani guidato da Amit Assaraf ha individuato centinaia di estensioni VSCode malevole che contano milioni di installazioni.
Tutto è cominciato con un esperimento: il team ha voluto mettere alla prova la robustezza dei controlli del marketplace di VSCode pubblicando “Darcula Official”, un’estensione che imita l’originale “Dracula Official”, un tema scuro per l’IDE di Microsoft. Il gruppo ha creato anche un sito web, sufficiente per diventare un publisher verificato sul marketplace.
Nel codice dell’estensione falsa c’era una funzione che, ogni volta che l’utente apriva un documento nell’editor, ne leggeva il contenuto e lo inviava al server degli “attaccanti”, insieme a diverse informazioni sulla macchina host.
A un solo giorno dalla pubblicazione l’estensione contava più di 100 download senza che il gruppo l’avesse pubblicizzata in qualche modo; dopo qualche giorno, i ricercatori hanno scoperto che tra le vittime c’erano numerosi dipendenti di compagnie multimiliardarie quotate in borsa.
Dopo essersi resi conto della facilità con cui è possibile pubblicare un’estensione malevola sul marketplace di VSCode, i ricercatori hanno deciso di approfondire la questione e scoprire quanti plugin sospetti sono disponibili al download.
Il marketplace di VSCode conta circa 60.000 estensioni e un totale di 3.3 miliardi di installazioni. VSCode è uno degli IDE più apprezzati proprio per la possibilità di personalizzarlo con i plugin (in media uno sviluppatore ne installa 40), ma questo rappresenta un serio problema dal punto di vista della sicurezza: gli IDE hanno accesso al codice dell’organizzazione e spesso anche ai segreti e alle chiavi dell’ambiente di produzione; spesso, inoltre, eseguono codice con privilegi elevati.
“Installando un’estensione, si dà al publisher accesso completo all’ambiente host“ spiega Assaraf. Poiché le estensioni non vengono eseguite in una sandbox, possono eseguire qualsiasi cosa sulla macchina host senza che lo sviluppatore lo sappia.
Fatte queste premesse, il gruppo riporta che, al momento, nel marketplace si contano 1.283 estensioni con dipendenze malevole per un totale di 229 milioni di installazioni; inoltre, ci sono 87 estensioni che tentano di leggere il file passwd sul sistema, 8.161 che comunicano con un indirizzo IP hardcoded nel codice, 1.452 che eseguono un binario sconosciuto sulla macchina e 2.304 che usano il repository Github di altre estensioni verificate come repository originale e che quindi le imitano.
La mancanza di controlli e di meccanismi di revisione del codice nel marketplace permette agli attaccanti di abusare della piattaforma per distribuire malware e accedere ai dati sensibili degli utenti.
“Come si può notare dai numeri, esiste una pletora di estensioni che rappresentano un rischio per le organizzazioni sul mercato di Visual Studio Code. Le estensioni di VSCode sono un verticale di attacco abusato ed esposto, con zero visibilità, alto impatto e alto rischio. Questo problema rappresenta una minaccia diretta per le organizzazioni e merita l’attenzione della comunità della sicurezza” affermano i ricercatori.
Il problema non riguarda solo l’IDE di Microsoft, ma la maggior parte degli editor di codice in cui è possibile installare estensioni. Il gruppo ha in programma di rilasciare ExtensionTotal, un tool per individuare le estensioni ad alto rischio ed evidenziare gli snippet di codice potenzialmente pericolosi.