一组以色列研究人员进行了对 Visual Studio Code 市场的安全性探索。通过对流行的“Dracula Official”主题的副本进行木马病毒感染,以包含危险代码,他们成功“感染”了 100 多个组织。对 VSCode 市场的进一步研究发现了数千个扩展程序,安装量达数百万次。
Visual Studio Code(VSCode)是微软发布的一款源代码编辑器,被全球众多专业软件开发人员使用。微软还运营一个 IDE 的扩展市场,称为 Visual Studio Code Marketplace,提供可扩展应用程序功能和更多自定义选项的附加组件。
在最近的实验中,研究人员创建了一个扩展,对“Dracula Official”主题进行了域名抢注,该主题是各种应用程序的流行配色方案,在 VSCode 市场上安装量超过 700 万次。
Dracula 因其视觉上吸引人的暗黑模式和高对比度的色调而被大量开发人员使用,对眼睛友好,有助于减少长时间编码期间的眼睛疲劳。
研究中使用的虚假扩展名为“Darcula”,研究人员甚至在“darculatheme.com”注册了一个匹配的域名。该域名被用来成为 VSCode 市场上经过验证的发布者,增加了虚假扩展的可信度。
他们的扩展使用了合法 Dracula 主题的实际代码,但还包括一个附加脚本,用于收集系统信息,包括主机名、已安装的扩展数量、设备的域名和操作系统平台,并通过 HTTPS POST 请求将其发送到远程服务器。
该扩展程序迅速获得关注,被多个高价值目标错误地安装,其中包括一家市值 4830 亿美元的上市公司、大型安全公司和一个国家司法法院网络。研究人员选择不透露受影响公司的名称。
由于该实验没有恶意,分析师仅收集了识别信息,并在扩展的自述文件、许可证和代码中包含了披露。
实验成功后,研究人员决定深入研究 VSCode 市场的威胁状况,使用他们开发的名为“ExtensionTotal”的自定义工具来查找高风险扩展、解包并仔细检查可疑的代码片段。
通过这一过程,他们发现:
- 1,283 个含有已知恶意代码(2.29 亿次安装)。
- 8,161 使用硬编码 IP 地址进行通信。
- 1,452 正在运行未知的可执行文件。
- 2,304 个 使用其他发布者的 Github repo,表明他们是模仿者。
微软对 VSCode 市场缺乏严格的控制和代码审查机制,这使得威胁行为者可以肆意滥用该平台,随着平台使用的增多,情况会变得越来越糟。
研究人员警告说:“从数字可以看出,Visual Studio Code 市场上有大量的扩展对组织构成风险。”
“VSCode 扩展是一种被滥用和暴露的攻击垂直领域,具有零可见性、高影响和高风险。这个问题对组织构成了直接威胁,值得安全社区的关注。”
研究人员检测到的所有恶意扩展都已负责任地报告给 Microsoft 以进行删除。然而,截至撰写本文时,绝大多数扩展仍可通过 VSCode Marketplace 下载。
研究人员计划下周发布他们的“ExtensionTotal”工具以及有关其操作能力的详细信息,并将其作为免费工具发布,以帮助开发人员扫描他们的环境以发现潜在威胁。
BleepingComputer 已联系微软,询问他们是否计划重新审视 Visual Studio Marketplace 的安全性。但截至发稿时我们尚未收到回复。
