以色列研究人员揭露了 VSCode 市场中的安全漏洞,感染了 100 多个组织。他们发现了大量恶意扩展,揭示了重大的安全风险,并强调了加强控制的必要性。
研究人员发现,由于 VSCode 是一种开发和测试系统,因此它通常会被传统的端点检测和响应 (EDR) 解决方案所忽视。许多高价值目标(包括重要公司和国家网络)都安装了虚假扩展。
研究人员使用自定义工具“ExtensionTotal”检查了 VSCode Marketplace。他们发现 1,283 个扩展程序带有已知恶意代码(安装量 2.29 亿次)、8,161 个扩展程序与硬编码 IP 地址连接、1,452 个扩展程序执行未知可执行文件,以及 2,304 个模仿者利用其他发布者的 GitHub 存储库。这些发现表明,威胁行为者可能会因管理和代码审查不力而滥用 VSCode Marketplace。
研究人员负责任地将所有有害扩展提交给微软以进行删除,但仍有许多扩展仍然存在。他们将免费向开发人员提供“ExtensionTotal”以检测危险。
“VSCode 旨在读取大量文件、执行许多命令并创建子进程,因此 EDR 无法了解 VSCode 的活动是合法的开发人员活动还是恶意扩展,”Amit 解释道。
研究人员连发3篇博文如下:
https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7
https://medium.com/@amitassaraf/2-6-exposing-malicious-extensions-shocking-statistics-from-the-vs-code-marketplace-cf88b7a7f38f
https://medium.com/@amitassaraf/3-6-uncovering-design-flaws-in-the-visual-studio-code-marketplace-ea1d8e8b0171
原文始发于微信公众号(独眼情报):vscode插件市场存在安全漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论