Check Point最近發現,網路攻擊者在微軟的Visual Studio Code (VS Code) Marketplace中上傳了3個惡意擴充程式,並被Windows 開發人員下載了 46600 次。
Check Point稱,攻擊者能夠利用這些惡意擴充程式竊取憑證、系統資訊,並在受害者的機器上建立遠端 shell。
Check Point 發現的3個惡意擴充程式包含:
- Theme Darcula dark:
被描述為「嘗試提高 VS Code 上的 Dracula 顏色一致性」。此惡意程式用於竊取有關開發人員系統的基本資訊,包括主機名稱、作業系統、CPU、記憶體和香關中央處理器。研究人員發現時,此擴充程式已被下載超過 45000 次。
- python-vscode:
這是一個 C# shell 注入器,可以在開發人員的設備上執行程式碼或命令。
- prettiest java:
根據描述,很可能是為了仿冒流行的prettier-java程式碼格式化工具,但實際上卻能從 Discord、Google Chrome、Opera、Brave Yandex 等瀏覽器竊取保存在上面的憑證或身份驗證權杖,然後利用Discord webhook 將竊取之憑證發給攻擊者。
除此以外,Check Point 還發現了其他多個可疑擴充程式,這些程式不能確定為惡意,但表現出不安全的行為,例如從軟體儲存庫中獲取程式碼或下載檔案。
Check Point已經將情況報告給了微軟,5月14日,VSCode已從Marketplace中刪除了這3個惡意擴充程式,並呼籲仍在此3個程式的軟體研發人員手動刪除,並執行完整掃描以檢測是否有任何感染。
軟體儲存庫的安全風險
VS Code是微軟發佈的原始程式碼編輯器,許多專業軟體研發人員都有使用VS Code。VS Code Marketplace 提供超過 50000 個擴充應用程式功能,並提供更多自訂選項的附加元件。
雖然允許使用者上傳的軟體儲存庫(例如 NPM 和 PyPi)已經一次又一次地被證明存在安全風險,但針對VS Code Marketplace的惡意軟體滲透還沒有太多先例。而AquaSec 已在 1 月份證明,將惡意擴充程式上傳到 VS Code Marketplace 相當容易,並提出了一些高度可疑的案例,但是最終沒能找到任何確鑿的惡意程式。
Check Point 發現的案例表明,如同攻擊者在NPM 和 PyPI 等軟體儲存庫中的做法,他們正積極嘗試通過上傳惡意程式感染 Windows 開發人員,Check Point 建議 VS Code Marketplace 和其他所有支援使用者上傳的軟體儲存庫使用者,在下載時僅選擇可信、下載量大且擁有較好社群評分的程式。