VSCode Marketplace, un repositorio para extensiones de Visual Studio Code (VSC), tiene defensas de seguridad enclenques, lo que deja a los actores de amenazas abusar de y repartir código malicioso entre sus millones de usuarios, advirtieron los especialistas.
Un informe de AquaSec probó la plataforma y concluyó que el mal uso para repartir malware (se abre en una nueva pestañita) era absurdamente fácil.
Además, los estudiosos afirman que no fueron los primeros en advertir las vulnerabilidades: ciertos actores de amenazas ya estaban activos.
Suplantación de detalles importantes
En una publicación de weblog (se abre en una pestañita nueva), el equipo de AquaSec explicó de qué manera procuraron descargar una versión maliciosa y con fallos tipográficos de una extensión popular con veintisiete millones de descargas.
Se dio cuenta de que el malware ni tan siquiera precisaba un fallo tipográfico: la plataforma tiene una característica llamada "displayName" que deja a los autores nombrar sus extensiones como quieran; el nombre no precisa ser único. Así, lo nombraron precisamente igual que el lícito.
Luego se dieron cuenta de que asimismo podían emplear exactamente el mismo logo y descripción que el proyecto lícito.
Además, los detalles, si bien se extraen de GitHub, se pueden mudar más adelante. Esto quiere decir que los atacantes pueden falsificar sencillamente los detalles del proyecto y presentar el malware como una herramienta lícita con un largo historial de desarrollo. Lo único que no podía falsificarse era el número de descargas y el ranking de busca.
"No obstante, con el tiempo, un número cada vez mayor de usuarios ignorantes habrán descargado nuestra extensión falsa. Conforme aumenten estos números, la extensión va a ganar verosimilitud", afirmó AquaSec. “Además, puesto que en la web obscura es posible adquirir múltiples servicios, un atacante exageradamente decidido podría potencialmente manipular estos números comprando servicios que inflarían la cantidad de descargas y estrellas”.
AquaSec asimismo examinó la insignia de verificación en VSCode Marketplace y concluyó que la función carece de sentido, ya que cualquier publicación con un dominio comprado consigue una, independientemente de la relevancia del dominio para el proyecto de software.
Si bien los estudiosos solo hicieron una prueba de término, asimismo hallaron un código malicioso real al acecho en la tienda. Estos se llaman "Complemento generador de API" y "probador de código".
Visual Studio Code es el editor de código fuente de Microsoft, usado por alrededor del setenta% de los desarrolladores de software profesionales en el mundo entero, conforme BleepingComputer. Las extensiones se pueden emplear para instalar programas auxiliares, hurtar código fuente o alterarlo en el IDE de VSCode.
Через: BleepingComputer (откроется в новой вкладке)