vscode插件市场存在安全漏洞

以色列研究人员揭露了 VSCode 市场中的安全漏洞，感染了 100 多个组织。他们发现了大量恶意扩展，揭示了重大的安全风险，并强调了加强控制的必要性。

以色列研究人员在VSCode 市场中发现了重大漏洞。这个名为“Dracula Official”的主题被木马化，包含危险代码，可“感染”超过 100 家组织。此次调查揭示了 VSCode 市场中的风险，该市场拥有数千个扩展和数百万个安装。

微软流行的源代码编辑器 VSCode 有一个名为 VSCode Marketplace 的扩展市场。这个市场提供个性化和功能附加组件。研究人员Amit Assaraf、Itay Kruk 和 Idan Dardikman 抢注了“Dracula Official”主题，以创建虚假扩展。他们使用虚假扩展“Darcula”和域名“darculatheme.com”，成为了确认的市场发布者。虚假扩展具有合法的主题代码和将系统数据中继到远程服务器的恶意脚本。

只需购买域名即可获得高信誉（小蓝勾）

该扩展程序整合了正版 Darcula 主题的代码，同时还包含一个附加脚本，用于收集系统信息，例如主机名、已安装扩展程序的数量、设备的域名和操作系统平台。然后通过 HTTPS POST 请求将这些信息传输到远程服务器。

24 小时内发生恶意安装的所在城市

  Darcula 扩展中添加了恶意代码

研究人员发现，由于 VSCode 是一种开发和测试系统，因此它通常会被传统的端点检测和响应 (EDR) 解决方案所忽视。许多高价值目标（包括重要公司和国家网络）都安装了虚假扩展。

研究人员使用自定义工具“ExtensionTotal”检查了 VSCode Marketplace。他们发现 1,283 个扩展程序带有已知恶意代码（安装量 2.29 亿次）、8,161 个扩展程序与硬编码 IP 地址连接、1,452 个扩展程序执行未知可执行文件，以及 2,304 个模仿者利用其他发布者的 GitHub 存储库。这些发现表明，威胁行为者可能会因管理和代码审查不力而滥用 VSCode Marketplace。

研究人员负责任地将所有有害扩展提交给微软以进行删除，但仍有许多扩展仍然存在。他们将免费向开发人员提供“ExtensionTotal”以检测危险。 

 “VSCode 旨在读取大量文件、执行许多命令并创建子进程，因此 EDR 无法了解 VSCode 的活动是合法的开发人员活动还是恶意扩展，”Amit 解释道。 

研究人员连发3篇博文如下：

https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7

https://medium.com/@amitassaraf/2-6-exposing-malicious-extensions-shocking-statistics-from-the-vs-code-marketplace-cf88b7a7f38f

https://medium.com/@amitassaraf/3-6-uncovering-design-flaws-in-the-visual-studio-code-marketplace-ea1d8e8b0171

看作者的标题命名应该会发6篇博文来说明vscode插件市场的安全隐患。

原文始发于微信公众号（独眼情报）：vscode插件市场存在安全漏洞