详细内容或原文请订阅后点击阅览
数百万次安装:数字恶魔大量隐藏在 VSCode 扩展中
就我所知,这篇文章是我对 100 篇评论的补充。
来源:安全实验室新闻频道超过 100 个组织如何成为强制渗透测试受害者的故事。
以色列研究人员发现了 Visual Studio Code 扩展市场中的严重漏洞,通过将恶意代码引入到流行的“德古拉官方”界面主题的克隆扩展中,成功“感染”了 100 多个组织。 专家还发现了数千个扩展以及数百万个安装,其中包含隐藏的安全风险。
“德古拉官方”。Visual Studio Code (VSCode) 是 Microsoft 开发的源代码编辑器,被全球许多专业开发人员使用。 Microsoft 还运营一个名为 VSCode Marketplace 的 VSCode 扩展商店,它提供附加组件来扩展应用程序的功能和自定义。
VSCode VSCode 市场过去,各种研究人员多次报告了 VSCode 中的各种安全问题,包括扩展欺骗和开发人员身份验证令牌被盗的可能性。也有检测到恶意扩展的确认案例。
微软通常会迅速关闭此类漏洞,但温和地说,它们的存在和如此频繁的检测并不能激发人们的信心。
在他们的实验中,研究人员 Amit Asaraf、Itay Kruk 和 Idan Dardikman 创建了一个模仿流行的“Dracula Official”主题的扩展,该主题的安装量已超过 700 万次。该假冒扩展被命名为“darculaficial”,研究人员甚至注册了域名“darculatheme.com”以增加假冒扩展的可信度。
创建了一个扩展,由于故意拼写错误的“Darcula”这个名字是一个既定的名称,这一事实使情况更加恶化。例如,JetBrains 的 IntelliJ IDEA 的 Glowing Darcula 插件非常合法,并且也被数千名开发人员使用。因此,就间谍研究插件而言,没有一个 VSCode 用户注意到其中的问题。
“发光的达古拉” EDR GitHub