🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

VSCode Marketplace có thể bị lạm dụng để lưu trữ các tiện ích bổ sung độc hại

10/01/2023

Mới đây, các nhà nghiên cứu AquaSec đã nhận thấy khả năng tải các tiện ích mở rộng Visual Studio Code độc ​​hại lên VSCode Marketplace và phát hiện ra dấu hiệu của các tác nhân đe dọa đã khai thác vấn đề này.

Visual Studio Code (VSC) là công cụ chỉnh sửa mã nguồn do Microsoft phát hành, được khoảng 70% các nhà phát triển phần mềm trên toàn thế giới sử dụng.

Microsoft cũng điều hành một thị trường (marketplace) tiện ích bổ sung cho IDE, được gọi là VSCode Marketplace, để cung cấp các tiện ích bổ sung giúp mở rộng chức năng của ứng dụng và cung cấp nhiều tùy chọn tùy chỉnh hơn.

Một số tiện ích bổ sung có đến hàng chục triệu lượt tải xuống, vì vậy nếu có thể giả mạo chúng trên nền tảng này, những tác nhân độc hại có thể nhanh chóng có được một số lượng nạn nhân đáng nể.

Các tiện ích bổ sung giả mạo này chạy với quyền của người dùng trên các máy bị nhiễm, có thể được sử dụng để cài đặt các công cụ độc hại, đánh cắp hoặc giả mạo mã nguồn trong VSCode IDE và thậm chí sử dụng khóa SSH của nhà phát triển để truy cập các kho lưu trữ GitHub được kết nối.

Theo một báo cáo của AquaSec, các nhà nghiên cứu nhận thấy việc tải các tiện ích bổ sung độc hại lên VSCode Marketplace của Microsoft khá dễ dàng và đã phát hiện một số tiện ích bổ sung đáng ngờ.

Phát hiện khả năng tải tiện ích độc hại lên thị trường VSCode

Trong một thử nghiệm tải tiện ích bổ sung độc hại lên thị trường VSCode, nhóm AquaSec đã thử "typosquat" (làm giả) một tiện ích format code phổ biến có hơn 27 triệu lượt tải xuống có tên "Prettier".

Khi tạo ra tiện ích giả này, họ nhận thấy có thể sử dụng lại biểu tượng, mô tả và đặt cùng tên với tiện ích thực.

AquaSec nhận thấy các số liệu thống kê trên GitHub được hiển thị được cập nhật tự động từ GitHub. Tuy nhiên, nhà phát hành vẫn có thể chỉnh sửa các số liệu này để giả dạng các dự án uy tín đã hoạt động từ lâu.

Điều này không cho phép tiện ích giả mạo được hiển thị với cùng số lượt tải xuống và có cùng thứ hạng tìm kiếm với tiện ích thật, nhưng người phát hành có thể sao chép các thông tin trên Github như tên dự án, thời gian commit cuối cùng,… của tiện ích bổ sung hợp pháp.

AquaSec cho biết "ngày càng có nhiều người dùng không biết sẽ tải xuống tiện ích bổ sung giả mạo của chúng tôi. Khi những con số này tăng lên, tiện ích bổ sung sẽ có được độ tin cậy".

Tiện ích bổ sung giả mạo do AquaSec tạo đã đạt được hơn 1.500 lượt cài đặt trong vòng chưa đầy 48 giờ, với nhiều "nạn nhân" trên toàn thế giới.

"Ngoài ra, kẻ tấn công còn có thể sử dụng các dịch vụ được cung cấp trên thị trường tội phạm mạng để làm tăng số lượt tải xuống và số sao", làm tăng mức độ uy tín của tiện ích giả mạo.

Các nhà phân tích còn phát hiện ra rằng huy hiệu xác minh trên nền tảng gần như không có ý nghĩa gì, bất kỳ nhà xuất bản nào đã mua bất kỳ tên miền (domain) nào, không cần liên quan đến dự án phần mềm, đều nhận được dấu tích xanh khi chứng minh được quyền sở hữu tên miền.

Phát hiện tiện ích bổ sung VSCode đáng ngờ

AquaSec không chỉ chứng minh rằng có thể bắt chước các tiện ích bổ sung phổ biến trên VSCode Marketplace mà còn phát hiện các tiện ích đáng ngờ đã được tải lên đó.

Hai trong số này có tên là " API Generator Plugin" và " code-tester", có hành vi rất đáng ngờ, gửi các HTTP request tới robotnowai.top cứ sau 30 giây và thực hiện phản hồi bằng cách sử dụng chức năng "eval()".

Việc trao đổi thông tin này diễn ra trên HTTP, không được mã hóa, do đó lưu lượng truy cập của nhà phát triển có thể bị tấn công Man-in-the-Middle.

Domain Robotnowai.top được đặt trên một địa chỉ IP liên quan đến hoạt động phát tán các tệp độc hại [theo VirusTotal], từ các tập lệnh VBS và PowerShell đến các phần mềm độc hại Windows, Linux và Android.

Rủi ro từ thị trường VSCode

Các tác nhân đe dọa luôn tìm kiếm các phương pháp mới để xâm phạm mạng mục tiêu.

Trong báo cáo, AquaSec cho biết "mối đe dọa từ các tiện ích bổ sung VSCode độc ​​hại là có thật, điều này chưa được chú ý nhiều trong quá khứ có lẽ vì chúng tôi chưa phát hiện một chiến dịch nào mà nó để lại tác động lớn".

AquaSec cho biết thêm rằng Microsoft còn cung cấp các thị trường tiện ích bổ sung Visual Studio và Azure DevOps cũng dễ bị tấn công bởi các tiện ích bổ sung độc hại.

Với việc các tác nhân đe dọa thường thực hiện các chiến dịch typosquat độc hại trên các kho lưu trữ phần mềm (package repositories) khác, như NPM và PyPi, không có gì đáng ngạc nhiên khi chúng tập trung vào các thị trường của Microsoft trong tương lai.

Do đó, các nhà phát triển sử dụng tiện ích bổ sung VSCode nên thận trọng và xem xét cẩn thận trước khi cài đặt chúng trên máy của mình.

Nguồn: bleepingcomputer.com

scrolltop