🔥В VSCode нашли расширения с вирусами и миллионами установок

Эксперту из Израиля обнаружили вредоносные расширения для Visual Studio Code (VSCode), установленные миллионами пользователей.

Они позволяют злоумышленникам красть учетные данные, информацию о системе и устанавливать удаленные оболочки на компьютеры жертв.

Поддельные расширения и их влияние

Исследователи создали расширение, имитирующее популярную тему «Dracula Official», которая имеет более 7 млн установок.

Их поддельное расширение, названное «Darcula», собирало системную информацию, включая имя хоста, количество установленных расширений, доменное имя устройства и платформу операционной системы, и отправляло эти данные на удалённый сервер через HTTPS-запрос.

Сообщается, что подделка была установлена множеством высокоценных целей, включая публичную компанию с рыночной капитализацией в $483 млрд, крупные компании в сфере безопасности и национальную судебную сеть​.

Общие угрозы в VSCode Marketplace

В ходе анализа исследователи обнаружили следующие проблемы:

• Вредоносный код: было выявлено 1283 расширения с известным вредоносным кодом, установленных 229 млн раз.
• Жестко закодированные IP-адреса: 8161 расширение общается с жестко закодированными IP-адресами.
  
• Неизвестные исполняемые файлы: 1452 расширения запускают неизвестные исполняемые файлы.
  
• Копии репозиториев: 2304 расширения используют GitHub-репозитории неоригинальных издателей, что указывает на их подделку​.
  

Уязвимости и рекомендации

Магазин расширений VSCode предоставляет множество дополнений, расширяющих функциональность приложения и предоставляющих больше возможностей для кастомизации.

Однако отсутствие строгих мер контроля и механизмов проверки кода на VSCode Marketplace позволяет злоумышленникам злоупотреблять платформой.

Например, вредоносные расширения могут красть токены аутентификации разработчиков и выполнять вредоносный код на их системах.

Заключение

Инцидент подчеркивает необходимость тщательной проверки и мониторинга расширений, устанавливаемых в IDE. Разработчики должны быть осведомлены о рисках и предпринимать необходимые меры для защиты своих систем и данных.

Все обнаруженные вредоносные расширения были ответственно сообщены в Microsoft для удаления.