Tysiące rozszerzeń Visual Studio uznano za złośliwe. Instalowano je setki milionów razy

ittechblog.pl 1 tydzień temu
Zdjęcie: Visual Studio


Microsoft ostatnio ma pecha. Najpierw uznano najnowszą funkcję Recall za potencjalnie szpiegującą użytkownika, a teraz okazuje się, iż system bezpieczeństwa Visual Code (VSCode) Marketplace ma mnóstwo luk. Jak pokazały testy – korzystając ze spreparowanego rozszerzenia można łatwo wykradać dane.

Rozszerzenia mają to do siebie, iż chętnie z nich korzystamy aby usprawnić sobie pracę lub podnieść komfort korzystania z aplikacji. Jednak cyberprzestępcy często tworzą fałszywe, które owszem – spełniają swoje zdania, ale równocześnie szpiegują użytkowników oraz wykradają dane. W przypadku Visual Studio mamy zatrważającą wręcz sytuację.

1238 rozszerzeń dla Visual Studio może szkodzić

Badacze z Izraela przeprowadzili pewien eksperyment. Stworzyli złośliwe rozszerzenie, któremu potrzeba było zaledwie pół godziny na to, aby naruszyć IDE. Fałszywe rozszerzenie o nazwie „Darcula” nawiązuje do popularnego motywu „Dracula Officer”. Aby wyglądało bardziej wiarygodnie i miało zweryfikowaną, opublikowaną plakietkę na rynku, badacze kupili choćby domenę darculatheme.com – witryna w tej chwili jest już wyłączona.

„Darcula” i „Dracula” wyglądają prawie identycznie, ale różnica polega na tym, iż w tym pierwszym dodano skrypt, który zbiera informacje o nazwie hosta użytkownika, domenie, platformie, liczbie rozszerzeń i nie tylko. Fałszywe rozszerzenie wygenerowało następnie wiele pobrań. Według badaczy stało się ono „popularnym” rozszerzeniem na rynku, zaś pobrała ją między innymi firma o kapitalizacji rynkowej wynoszącej 483 miliardy dolarów. Sama instalacja rozszerzenia oznacza z kolei zapewnienie jego wydawcy pełnego dostępu do środowiska hosta.

Czytaj też: Mały bug na YouTube. Oglądasz live, ale pokazuje, iż nie

Następnie badacze zidentyfikowali aż 1283 powszechnie dostępnych rozszerzeń, które mogą szkodzić. Mają one łącznie 229 milionów instalacji. 87 z tych rozszerzeń próbuje uzyskać dostęp do wrażliwych plików systemowych, 8161 komunikuje się z zakodowanymi na stałe adresami IP, 1452 może uruchamiać pliki wykonywalne, zaś 267 zawierające zakodowane “sekrety”. Oczywiście nie są one przyjemne dla użytkownika danego rozszerzenia.

Jak alarmują w podsumowaniu badacze: problem ten stanowi bezpośrednie zagrożenie dla organizacji każdej wielkości i zasługuje na uwagę społeczności zajmującej się bezpieczeństwem. Dlatego jeżeli korzystasz z Visual Studio, pobieraj tylko sprawdzone, zweryfikowane rozszerzania od uznanych deweloperów.

Idź do oryginalnego materiału