Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Giu 10, 2024 Marina Londei Malware, News, RSS 0
Un gruppo di ricercatori israeliani guidato da Amit Assaraf ha individuato centinaia di estensioni VSCode malevole che contano milioni di installazioni.
Tutto è cominciato con un esperimento: il team ha voluto mettere alla prova la robustezza dei controlli del marketplace di VSCode pubblicando “Darcula Official”, un’estensione che imita l’originale “Dracula Official”, un tema scuro per l’IDE di Microsoft. Il gruppo ha creato anche un sito web, sufficiente per diventare un publisher verificato sul marketplace.
Nel codice dell’estensione falsa c’era una funzione che, ogni volta che l’utente apriva un documento nell’editor, ne leggeva il contenuto e lo inviava al server degli “attaccanti”, insieme a diverse informazioni sulla macchina host.
A un solo giorno dalla pubblicazione l’estensione contava più di 100 download senza che il gruppo l’avesse pubblicizzata in qualche modo; dopo qualche giorno, i ricercatori hanno scoperto che tra le vittime c’erano numerosi dipendenti di compagnie multimiliardarie quotate in borsa.
Dopo essersi resi conto della facilità con cui è possibile pubblicare un’estensione malevola sul marketplace di VSCode, i ricercatori hanno deciso di approfondire la questione e scoprire quanti plugin sospetti sono disponibili al download.
Il marketplace di VSCode conta circa 60.000 estensioni e un totale di 3.3 miliardi di installazioni. VSCode è uno degli IDE più apprezzati proprio per la possibilità di personalizzarlo con i plugin (in media uno sviluppatore ne installa 40), ma questo rappresenta un serio problema dal punto di vista della sicurezza: gli IDE hanno accesso al codice dell’organizzazione e spesso anche ai segreti e alle chiavi dell’ambiente di produzione; spesso, inoltre, eseguono codice con privilegi elevati.
“Installando un’estensione, si dà al publisher accesso completo all’ambiente host“ spiega Assaraf. Poiché le estensioni non vengono eseguite in una sandbox, possono eseguire qualsiasi cosa sulla macchina host senza che lo sviluppatore lo sappia.
Fatte queste premesse, il gruppo riporta che, al momento, nel marketplace si contano 1.283 estensioni con dipendenze malevole per un totale di 229 milioni di installazioni; inoltre, ci sono 87 estensioni che tentano di leggere il file passwd sul sistema, 8.161 che comunicano con un indirizzo IP hardcoded nel codice, 1.452 che eseguono un binario sconosciuto sulla macchina e 2.304 che usano il repository Github di altre estensioni verificate come repository originale e che quindi le imitano.
La mancanza di controlli e di meccanismi di revisione del codice nel marketplace permette agli attaccanti di abusare della piattaforma per distribuire malware e accedere ai dati sensibili degli utenti.
“Come si può notare dai numeri, esiste una pletora di estensioni che rappresentano un rischio per le organizzazioni sul mercato di Visual Studio Code. Le estensioni di VSCode sono un verticale di attacco abusato ed esposto, con zero visibilità, alto impatto e alto rischio. Questo problema rappresenta una minaccia diretta per le organizzazioni e merita l’attenzione della comunità della sicurezza” affermano i ricercatori.
Il problema non riguarda solo l’IDE di Microsoft, ma la maggior parte degli editor di codice in cui è possibile installare estensioni. Il gruppo ha in programma di rilasciare ExtensionTotal, un tool per individuare le estensioni ad alto rischio ed evidenziare gli snippet di codice potenzialmente pericolosi.
Nov 11, 2024 0
Nov 11, 2024 0
Nov 04, 2024 0
Ott 28, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...