Prijetnje ekstenzija VSCode: krađa podataka, prikriveni backdoori i RAT pokretan blockchainom

Početna » piton » Prijetnje ekstenzija VSCode: krađa podataka, prikriveni backdoori i RAT pokretan blockchainom

Programeri se sve više suočavaju s rizicima uzrokovanim ekstenzijama unutar editora koji svakodnevno koriste, i Visual Studio Code (VSCode) je u središtu najnovijih alarma. Istrage su povezale skupinu oglasa na tržištu s agresivnim prikupljanjem podataka, krađom vjerodajnica, pa čak i tajnim udaljenim pristupom mašinama koje se koriste za softverske projekte.

Ono što situaciju čini delikatnijom je to što je, prema posljednjim izvještajima, nekoliko paketa i dalje dostupno za preuzimanje, što znači da problem nije teoretski. Aktivnost obuhvata službeno tržište i Open VSX, ističući kako Ekosistemi proširenja IDE-a su postali visokovrijedna meta za napade u lancu snabdijevanja.

Šta su istraživači pronašli u ekosistemima VS Code-a

Više timova, uključujući HelixGuard i druge istraživače sigurnosti, dokumentiralo je najmanje desetak zlonamjernih prijenosa na Microsoft VSCode Marketplace i Open VSX. Ključno je da su četiri od njih navodno još uvijek aktivna: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, I sahil92552.CBE-456.

Ovi paketi dosežu daleko više od bezopasne telemetrije. Analitičari su primijetili krađu identifikatora mašina, naziva projekata, potpune izvorne datoteke, historija pretrage unutar editora, AI chat upiti, odabrani fragmenti koda, sadržaj međuspremnika, pa čak i snimci ekrana snimljeni tokom svakodnevnog rada.

Jedan često citirani podatak uokviruje širi rizik: akademski pogled na ekosistem procijenio je da oko 5.6% od 52,880 ispitanih VSCode ekstenzija pokazuje sumnjive obrasce ponašanja — a ti potencijalno rizični unosi zajedno čine više od 613 miliona instalacija.

Kako se zapravo dešava eksfiltracija

Ponašanje se razlikuje ovisno o paketu, ali cilj je dosljedan: izvući osjetljive podatke bez otkrivanja korisnika. Na primjer, analitičari kažu Christine-devops1234.scraper usmjerava širok skup korisničkih i projektnih detalja - uključujući cijeli sadržaj datoteka i upite unutar IDE-a - ka napadačkoj infrastrukturi na 35.164.75.62:8080.

U međuvremenu, Kodease.fyp-23-s2-08 usmjerava ukradene isječke putem Ngroka, prikrivajući izvlačenje kao funkciju za generiranje komentara u stilu umjetne inteligencije. Ispitivani kod normalizira sadržaj (npr. uklanja razmake) i šalje ga u HTTPS POST zahtjevima tako da se promet stapa kao legitimna pomoćna funkcija.

Pored krađe koda, u igri su i dodaci za nadzor. Dodatak identifikovan kao BX-Dev.Blackstone-DLP viđeno je kako pravi snimke ekrana i prati međuspremnik, kombinacija koja može tiho preusmjeravati akreditacije, tokenii osjetljive fragmente vlasničke logike.

Istraživači su također označili ekstenziju pod nazivom VKTeam.ru koji selektivno cilja korporativne kontekste. Provjerava članstvo u domeni VK.com i, kada se uslovi podudaraju, prikuplja podatke o Windows domeni kao što su korisnička imena, nazivi hostova i detalji sistema - prilagođena izviđanje okoline korak.

Od špijuniranja do potpunog kompromitovanja mašine

Nekoliko unosa ide daleko iza prikupljanja podataka i prelazi na izvršavanje naredbi. Paket teste123444212.teste123444212 navodno održava trajnu vezu s AWS resursima koje kontroliraju napadači, efektivno pružajući kanal za daljinsko izvršenje komande na hostu programera.

Još jedan primjer, ToToRoManComp.diff-tool-vsc, implementira Base64-kodiranu Perl obrnutu ljusku koja doseže do 89.104.69.35 u luci 445, predajući interaktivni pristup nakon što se poveže. Takav korisni teret daje protivniku sveobuhvatnu kontrolu izvan samog uređivača.

Zlonamjerna aktivnost povezana sa Deriv-AI.deriv-ai dalje eskalira preuzimanjem i lansiranjem trojanca nazvanog "nightpaw", omogućavajući dublje izviđanje i izdržljive daljinski pristup na kompromitovanim sistemima.

Otvoreno VSX kućište: SleepyDuck se krije iza Solidity alata

U registru Open VSX, kojim upravlja zajednica, istražitelji su pratili trojanca za udaljeni pristup pod nadimkom PospanaPatka maskiranje kao Solidity ekstenzija pod nazivom juan-bianco.solidity-vlangPrivuklo je više od 53,000 preuzimanja i ostao je vidljiv s upozorenjem platforme; kritično je da je u početku bio bezopasan prilikom slanja, a svoju zlonamjernu komponentu je dobio u naknadnom ažuriranju.

SleepyDuck-ov istaknuti trik je otpornost: on koristi Ethereum pametni ugovor da pohranjuje i ažurira svoje detalje o komandama i kontroli. Ako zadani C2 na sleepyduckxyz nestane, zlonamjerni softver može upitati blockchain za nove instrukcije, uključujući novu adresu servera i revidirane intervale ispitivanja.

Putanje aktivacije su prilagođene radnim procesima programera. Ekstenzija se aktivira pri pokretanju editora, otvaranju Solidity datoteke ili pozivanju Solidity naredbe za kompajliranje. Briše zaključanu datoteku kako bi se osiguralo da se pokrene jednom po hostu i poziva lažnu funkciju. webpack.init() iz svog ekstenzijskog skripta da se uklopi, a zatim učitava zlonamjerni teret.

Nakon inicijalizacije, analitičari su uočili da zlonamjerni softver prikuplja osnovne identifikatore sistema (imena hosta/korisnika, MAC adresu i vremensku zonu) i priprema sandbox za izvršavanje naredbi. On locira brzu Ethereum RPC krajnju tačku, čita pametni ugovor za trenutnu konfiguraciju i ulazi u petlju anketiranja koja objavljuje podatke o hostu i provjerava zadaci za izvršenje.

Odvojeni incident usmjeren na Solidity developere

Ranije ove godine, istraživači su također prijavili prepoznatljiv lažni paket označen kao "Jezik čvrstoće" pomoćnik na Open VSX-u. Taj je navodno pokrenuo PowerShell skriptu, izbacio alat za udaljeni pristup i preusmjerio lozinke za kripto-novčanikejedan programer je javno tvrdio da su gubici iznosili otprilike US $ 500,000Lista je prikupila desetine hiljada preuzimanja prije uklanjanja i navodno se ubrzo nakon toga ponovo pojavila pod novim imenima.

Ponavljano ciljanje programera pametnih ugovora nije slučajno. Ovi korisnici često imaju pristup novčaniku i komuniciraju s finansijskom infrastrukturom, što ih čini ciljevi visoke vrijednosti za napadače koji žele brzo ostvariti zaradu.

Šira slika: obim i podsticaji

Brojke slikaju zabrinjavajuću sliku: istraživanja pokazuju da oko 5.6% od 52,880 pregledane ekstenzije pokazuju znakove kršenja pravila ili rizičnih osobina - a ukupan broj instalacija za takve unose prelazi 613 milionaS obzirom na ogroman utjecaj VSCode-a i porast Alati potpomognuti umjetnom inteligencijom, akteri prijetnji su motivirani da se sakriju unutar dodataka programeri već vjeruju.

Drugi faktor su privilegije. Ekstenzije rade s istim mogućnostima kao i editor - čitanje datoteka, pokretanje procesa i upućivanje mrežnih poziva - što proširuje radijus eksplozije. Skrivanjem krađe podataka unutar funkcija poput prijedloga koda ili generiranja komentara, napadači... zlonamernog saobraćaja izgledaju kao normalna razvojna aktivnost.

Šta timovi trebaju uraditi upravo sada

Lideri u oblasti sigurnosti i pojedinačni programeri mogu smanjiti izloženost uz nekoliko disciplinovanih koraka, dajući prioritet vidljivosti i strogim zadanim postavkama koje ograničavaju rizične instalacije, a istovremeno održavaju produktivnost. Praktična kombinacija upravljanje i praćenje pravi najveću razliku.

• Redovno provjeravajte instalirane ekstenzije; uklonite sve nepoznato, novokreirano ili ekstenzije niske reputacije. Razmislite o lista dozvoljenih za odobrene dodatke (pluginove).
• Pratite izlaz iz krajnjih tačaka programera za neobična odredišta (npr. poznate C2 IP adrese, neočekivane tunele kao što su Ngrok).
• Izvor proširenja za recenzije kada je to moguće, posebno onih koji se tiču ​​tajni ili osjetljive putanje koda; pričvrstite verzije ako ih baš morate koristiti.
• Budite oprezni s automatskim ažuriranjima; pratite dnevnike promjena i promjene izdavača kako biste izbjegli iznenađenja. pivoti u lancu snabdijevanja.
• Zaštitite krajnje tačke pomoću EDR/AV-a, lokalnih zaštitnih zidova i minimalnih privilegija; izolujte tajne za izgradnju i koristite akreditivi s opsegom tokena.
• Obučite programere o rizicima ekstenzija, verifikaciji izdavača i brzom prijavljivanju/eskalaciji sumnjivih ponašanje urednika.

Odgovori tržišta i stalna poboljšanja

Open VSX, sve popularniji kod IDE-ova s ​​umjetnom inteligencijom poput Cursora i Windsurfa, najavio je sigurnosna unapređenja: kraći vijek trajanja tokena, brže opoziv procurili akreditivi, automatizovanije skeniranje i poboljšano dijeljenje informacija s VS Code timom o novim prijetnjama.

Čak i uz te korake, sigurnost ekosistema je pokretna meta. Napadači brzo ponavljaju korake; mijenjaju brendove paketa, šalju štetna ažuriranja na prethodno bezopasne projekte i kamufliraju promet pod krinkom pogodnosti za programereBudnost zajednice i brzo uklanjanje objekata ostaju neophodni.

Na oba tržišta, nedavni slučajevi pokazuju kako se izvlačenje podataka može prikazati kao legitimne funkcije i kako backdoor-ovi mogu opstati pametnim korištenjem C2 zasnovan na blockchainu, obrnute ljuske i releje u oblaku. Tretirajte svako proširenje kao kod u vašem lancu snabdijevanja i validirajte ga s istom strogošću koju primjenjujete na zavisnosti.

Ovi nalazi ukazuju na jednostavan, ali neizostavan stav: tretirajte editor kao dio vaše sigurnosne granice. S obzirom na to da je nekoliko zlonamjernih VSCode ekstenzija i dalje dostupno, izvještaje o C2-u podržanom Ethereumom u ekspanziji i dokaze da mjerljiv dio ekosistema može biti rizičan, timovi koji implementiraju revizije, liste dozvoljenih, praćenje mreže i edukaciju programera bit će u najboljoj poziciji da održe... izvorni kod i vjerodajnice iz ruku napadača.

Vezani članak:

ReversingLabs otkriva da su napadači zloupotrebljavali pametne ugovore Ethereuma kako bi sakrili npm zlonamjerni softver