详细内容或原文请订阅后点击阅览
开发人员正在编写 VS Code 扩展,通过存储桶加载来泄露秘密
Vibe 编码可能在研究人员花了数月时间修复的问题中发挥了作用。与 Microsoft 合作解决可能导致一些严重供应链攻击的问题的研究人员表示,VS Code 扩展的开发人员正在左右泄露敏感秘密。
来源:The Register _恶意软件与 Microsoft 合作解决可能导致一些严重供应链攻击的问题的研究人员表示,VS Code 扩展的开发人员正在左右泄露敏感秘密。
Wiz Security 检查了 VS Code 和 Open VSX 市场中由数百家发布商提供的 500 多个扩展,并发现了 550 多个经过验证的秘密。
VS 代码安全人员所说的“秘密”通常是指访问和授权令牌、凭证、API 和/或加密密钥、证书等。
它确定了 67 类秘密,但大多数可以分为三类:生成式 AI 平台、AWS、GCP、Auth0 和 GitHub 等高风险专业平台,以及 MongoDB 和 Postgres 等数据库。
生成式人工智能平台他们发现的 550 多个秘密中,有超过 100 个可以让攻击者有权更新扩展本身,并且考虑到 VS Code 自动更新扩展,供应链攻击的可能性非常高。
Wiz 表示,在发现这些问题后,特别是那些泄露用于更新扩展的个人访问令牌 (PAT) 的问题后,其研究人员可能会一次性向大约 150,000 名用户部署恶意软件。
部署的恶意软件许多受影响的机器由于主题下载而容易受到攻击。
虽然许多人可能认为这些扩展比其他扩展更良性,因为它们不会在项目中引入任何代码,但没有什么可以阻止主题引入恶意软件。
可能允许攻击者推送扩展程序更新的更值得注意的案例包括 Wiz 所说的“市值 300 亿美元的中国巨型企业”,该公司发布了仅适用于公司员工的内部扩展程序。
理想情况下,公司不会发布这些内容,但为了方便通常会发布这些内容,Wiz 说。
说在周三发布研究报告之前,微软在 Visual Studio Marketplace 上实施了秘密扫描,现在阻止了泄露这些敏感数据的扩展。