Aggiornamenti recenti Novembre 6th, 2024 10:30 AM
Giu 10, 2024 Marina Londei Malware, News, RSS 0
Un gruppo di ricercatori israeliani guidato da Amit Assaraf ha individuato centinaia di estensioni VSCode malevole che contano milioni di installazioni.
Tutto è cominciato con un esperimento: il team ha voluto mettere alla prova la robustezza dei controlli del marketplace di VSCode pubblicando “Darcula Official”, un’estensione che imita l’originale “Dracula Official”, un tema scuro per l’IDE di Microsoft. Il gruppo ha creato anche un sito web, sufficiente per diventare un publisher verificato sul marketplace.
Nel codice dell’estensione falsa c’era una funzione che, ogni volta che l’utente apriva un documento nell’editor, ne leggeva il contenuto e lo inviava al server degli “attaccanti”, insieme a diverse informazioni sulla macchina host.
A un solo giorno dalla pubblicazione l’estensione contava più di 100 download senza che il gruppo l’avesse pubblicizzata in qualche modo; dopo qualche giorno, i ricercatori hanno scoperto che tra le vittime c’erano numerosi dipendenti di compagnie multimiliardarie quotate in borsa.
Dopo essersi resi conto della facilità con cui è possibile pubblicare un’estensione malevola sul marketplace di VSCode, i ricercatori hanno deciso di approfondire la questione e scoprire quanti plugin sospetti sono disponibili al download.
Il marketplace di VSCode conta circa 60.000 estensioni e un totale di 3.3 miliardi di installazioni. VSCode è uno degli IDE più apprezzati proprio per la possibilità di personalizzarlo con i plugin (in media uno sviluppatore ne installa 40), ma questo rappresenta un serio problema dal punto di vista della sicurezza: gli IDE hanno accesso al codice dell’organizzazione e spesso anche ai segreti e alle chiavi dell’ambiente di produzione; spesso, inoltre, eseguono codice con privilegi elevati.
“Installando un’estensione, si dà al publisher accesso completo all’ambiente host“ spiega Assaraf. Poiché le estensioni non vengono eseguite in una sandbox, possono eseguire qualsiasi cosa sulla macchina host senza che lo sviluppatore lo sappia.
Fatte queste premesse, il gruppo riporta che, al momento, nel marketplace si contano 1.283 estensioni con dipendenze malevole per un totale di 229 milioni di installazioni; inoltre, ci sono 87 estensioni che tentano di leggere il file passwd sul sistema, 8.161 che comunicano con un indirizzo IP hardcoded nel codice, 1.452 che eseguono un binario sconosciuto sulla macchina e 2.304 che usano il repository Github di altre estensioni verificate come repository originale e che quindi le imitano.
La mancanza di controlli e di meccanismi di revisione del codice nel marketplace permette agli attaccanti di abusare della piattaforma per distribuire malware e accedere ai dati sensibili degli utenti.
“Come si può notare dai numeri, esiste una pletora di estensioni che rappresentano un rischio per le organizzazioni sul mercato di Visual Studio Code. Le estensioni di VSCode sono un verticale di attacco abusato ed esposto, con zero visibilità, alto impatto e alto rischio. Questo problema rappresenta una minaccia diretta per le organizzazioni e merita l’attenzione della comunità della sicurezza” affermano i ricercatori.
Il problema non riguarda solo l’IDE di Microsoft, ma la maggior parte degli editor di codice in cui è possibile installare estensioni. Il gruppo ha in programma di rilasciare ExtensionTotal, un tool per individuare le estensioni ad alto rischio ed evidenziare gli snippet di codice potenzialmente pericolosi.
Nov 04, 2024 0
Ott 28, 2024 0
Ott 23, 2024 0
Ott 16, 2024 0
Nov 06, 2024 0
Nov 05, 2024 0
Nov 04, 2024 0
Ott 31, 2024 0
Nov 05, 2024 0
I FortiGuard Labs di Fortinet hanno individuato attività...Nov 04, 2024 0
Era già successo durante le ultime elezioni e sta...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo giorno di...Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 06, 2024 0
Il team di Unit 42 di Palo Alto Networks ha...Nov 05, 2024 0
I FortiGuard Labs di Fortinet hanno individuato attività...Nov 04, 2024 0
Era già successo durante le ultime elezioni e sta...Nov 04, 2024 0
Questa settimana, il CERT-AGID ha analizzato 59 campagne...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...