Cyberattaque

L’extension VSCode peut être utilisé pour héberger des extensions malveillantes

Par Philippe Ternision , le 9 janvier 2023 , mis à jour le 9 janvier 2023 - 6 minutes de lecture
vscode malware
Notez l'article

Les chercheurs ont découvert qu’il est étonnamment simple de télécharger des extensions Visual Studio Code malveillantes sur le marché VSCode et ont trouvé des preuves que les acteurs de la menace utilisent déjà cette faille.

Environ 70% de tous les ingénieurs logiciels professionnels utilisent Visual Studio Code (VSC), un éditeur de code source créé par Microsoft.

En outre, Microsoft dispose d’un marché pour les modules complémentaires de l’IDE appelé VSCode Marketplace, qui vend des modules complémentaires qui augmentent la fonctionnalité du programme et offrent aux utilisateurs davantage de possibilités de personnalisation.

Certaines de ces extensions ont été téléchargées à des dizaines de millions d’exemplaires. Par conséquent, s’il existait un moyen simple pour les mauvais acteurs de se faire passer pour eux sur la plate-forme, ils pourraient rapidement accumuler un nombre respectable de victimes.

Ces extensions peuvent être utilisées pour installer des logiciels supplémentaires, voler ou modifier le code source dans l’IDE VSCode, et même utiliser la clé SSH du développeur pour accéder aux dépôts GitHub liés, car elles fonctionnent avec les droits de l’utilisateur sur les appareils infectés.

Selon une analyse récente d’AquaSec, les chercheurs ont découvert qu’il est assez simple de soumettre des extensions malveillantes sur le marché Visual Studio Code Marketplace de Microsoft, et ils ont déjà découvert quelques extensions actuelles qui sont très suspectes.

Distribution d’extensions malveillantes

L’équipe d’AquaSec a tenté de “typosquatter” l’extension de formatage de code bien connue “Prettier”, qui compte plus de 27 millions de téléchargements, comme test pour publier une extension malveillante sur le marché VSCode.

Cependant, ils ont découvert qu’ils pouvaient réutiliser le logo et la description de l’extension authentique et donner le même nom à la nouvelle extension.

The real extension (left) and fake extension (right)
La vraie extension (à gauche) et la fausse extension (à droite) (AquaSec)

A

De toute évidence, le nom de l’extension qui s’affiche sur la page de marché ne doit pas être unique car les éditeurs sont autorisés à utiliser une propriété appelée “displayName”

AquaSec a découvert que la partie des détails du projet qui montre les statistiques GitHub est automatiquement mise à jour depuis GitHub. Les métriques, cependant, peuvent toujours être modifiées par l’éditeur sans restriction, donnant l’impression que le projet est toujours actif et a une longue histoire de développement.

Les chercheurs ont pu reproduire le nom du projet GitHub de l’extension authentique, les derniers temps de commit, les demandes de pull et les problèmes en suspens, mais ils n’ont pas pu répertorier la fausse extension avec la même quantité de téléchargements ou le même classement de recherche.

“Mais au fur et à mesure que le temps passe, un plus grand nombre d’individus inconscients auront téléchargé notre fausse extension. Au fur et à mesure que ces chiffres augmentent, l’extension apparaîtra plus crédible”, notent les chercheurs d’AquaSec.

En outre, un attaquant exceptionnellement déterminé pourrait théoriquement manipuler ces chiffres en achetant des services qui gonfleraient la quantité de téléchargements et de vedettes sur le dark web, car il est possible d’y acheter une variété de services

.

Enfin, les analystes ont appris que le badge de vérification de la plateforme est essentiellement inutile car tout éditeur ayant acheté un domaine reçoit une coche bleue comme preuve de propriété du domaine. Même le domaine ne doit pas nécessairement être associé au projet de logiciel.

Plus de 1 500 développeurs dans le monde ont installé l’extension de preuve de concept (PoC) d’AquaSec en moins de 48 heures, ce qui en fait la “victime” de l’attaque.

Map of developers who downloaded the fake extension
Carte des développeurs qui ont téléchargé la fausse extension (AquaSec)

Des extensions VSCode suspectes existent déjà

En plus de démontrer qu’il est facile d’imiter des extensions bien connues sur la place de marché VSCode, AquaSec a également découvert des instances douteuses qui avaient déjà été publiées sur la place de marché.

Les extensions “API Generator Plugin” et “code-tester”, qui envoyaient des requêtes HTTP à l’URL externe robotnowai.top toutes les 30 secondes et utilisaient la méthode “eval()” pour exécuter les réponses, présentaient un comportement très inquiétant.

The code-tester code
Une partie du code du “testeur de code” (AquaSec)

Comme les développeurs échangeaient des informations via HTTP, qui n’étaient même pas cryptées, ils étaient vulnérables aux attaques de type “Man-in-the-Middle”.

Selon VirusTotalVirusTotal, l’adresse IP sur laquelle le domaine robotnowai.top était hébergé a un long passé de diffusion de fichiers nuisibles, notamment de malwares Windows, Linux et Android ainsi que de scripts VBS et PowerShell.

Ces deux extensions ont été signalées par AquaSec à Microsoft, mais à l’heure où nous écrivons ces lignes, elles sont toujours disponibles.

La place de marché VSCode se prête aux abus

Les chercheurs lancent un avertissement, soulignant que même si les experts en sécurité n’ont pas accordé beaucoup d’attention aux extensions Visual Studio Code, les acteurs de la menace sont constamment à la recherche de nouveaux moyens de pénétrer dans les réseaux d’entreprise.

“En fin de compte, les extensions VSCode malveillantes posent un problème. Peut-être parce que nous n’avons pas encore été témoins d’une campagne où elles ont eu une influence significative, cela n’a pas historiquement attiré la plus grande attention”, conclut le rapport d’AquaSec.

La possibilité d’exécuter des logiciels malveillants à l’intérieur du réseau des entreprises est cependant un aspect que les attaquants cherchent toujours à améliorer.

Pire encore, selon AquaSec, Microsoft propose désormais des places de marché pour les extensions Visual Studio et Azure DevOps, qui semblent toutes deux ouvertes aux extensions malveillantes.

Il ne serait pas étrange de voir les acteurs de la menace se concentrer sur les marchés Microsoft à l’avenir, étant donné la fréquence à laquelle ils mènent des campagnes de typosquattage malveillant sur d’autres dépôts de paquets, tels que NPM et PyPi.

Pour cette raison, les utilisateurs de l’extension VSCode sont invités à être vigilants et à inspecter minutieusement leurs modules complémentaires avant de les installer sur des machines de production.

 

 

  • BlackRock Games La Guerre De L'anneau Extension Seigneurs De La Terre Du Milieu
    une extension pour la guerre de laamp;#39;anneau comprenant de nouveaux personnages, de nouveaux des daamp;#39;actions et de nouvelles versions de tous les compagnons de la communaute de lranneau. et si les gardiens des anneaux elfiques avaient utilise leurs anneaux de pouvoir pour defier la puissance du seigneur tenebreux ? et si le balrog etait sorti de la moria pour apporter le feu et la fureur sur les terres des peuples libres ? et si le conseil drelrond avait pris une decision differente concernant la communaute de lranneau ?avec les seigneurs de la terre du milieu, les joueurs peuvent explorer ces possibilites, ainsi que de nombreuses autres, pour creer de nouvelles opportunites de jeu et de nouvelles strategies. des personnalites importantes, qui nrapparaissaient auparavant dans le jeu qurau travers de cartes evenement, sont representees par des figurines et des regles specifiques.
  • dBb Remond Extension de Robinet Vert
    dBb Remond Extension de Robinet Vert permet une prolongation de 11 cm du robinet. Il facilitera l'accès au robinet pour les enfants. Sa forme ludique de grenouille les encourage à se laver les mains par eux-mêmes et à devenir autonomes. Facile à installer, à nettoyer et à utiliser. Il est léger et permet de le transporter partout. Il convient à la plupart des robinets. Son petit plus ? Il empêche l'eau d'éclabousser.
  • SETAM Retour simple gauche chêne/ant L.800 x P.600 mm
    Extension retour simple gauche P.60 cm, coloris chêne clair / anthracite. S'utilise associée à un bureau droit ou asymétrique
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.