گروهی از محققان اسرائیلی شروع به بررسی ادیتور vscode کردند و موفق شدند بیش از ۱۰۰ سازمان آلوده شده با تم محبوب Dracula Official کشف کنند. تحقیقات نشان میدهد که این افزونه بیش از میلیون ها بار در VScode نصب شده است.
Visual Studio Code (VSCode) یک ویرایشگر قدرتمند است که توسط مایکروسافت منتشر شده و توسط بسیاری از توسعه دهندگان نرم افزار حرفه ای در سراسر جهان استفاده می شود.
مایکروسافت همچنین یک Market یا بازاری از افزونه های مختلف را برای VScode به نام Visual Studio Code Marketplace ارائه می دهد که میتوانیم از افزونه های مختلف برای سفارشی سازی vscode استفاده کنیم.
گزارشها نشان میدهد که این افزونه توکن های احراز هویت توسعه دهنده را به سرقت می برد . و همچنین مخرب بودن این افزونه تایید شده است.
برای آزمایش اخیر خود، کارشناسانی مثل Amit Assaraf، Itay Kruk و Idan Dardikman افزونهای به اسم Dracula Official ودر مارکت vscode قرار دادند این افزونه بیش از ۷ میلیون بار نصب شد.
Dracula توسط تعداد زیادی از توسعه دهندگان به دلیل حالت تاریک جذاب بصری با پالت رنگی با کنتراست بالا استفاده می شود که برای چشم ها مفید است و به کاهش فشار چشم در جلسات طولانی برنامه نویسی کمک می کند.
پسوند جعلی مورد استفاده در این تحقیق Darcula نام داشت و محققان حتی یک دامنه به اسم darculatheme.com را ثبت کردند. این دامنه برای تبدیل شدن به یک ناشر تأیید شده در بازار VSCode استفاده شد و اعتباری را به افزونه جعلی اضافه کرد.
افزونه ای که طراحی شده بود، از کد واقعی تم Darcula استفاده می کند، اما همچنین شامل یک اسکریپت اضافه شده است که اطلاعات سیستم، از جمله نام میزبان، تعداد برنامه های افزودنی نصب شده، نام دامنه دستگاه و پلت فرم سیستم عامل را جمع آوری می کند و آن را از طریق یک درخواست HTTPS POST به سرور ارسال می کند.
محققان تاکید کردند که کد مخرب توسط ابزارهای تشخیص و پاسخ نقطه پایانی EDR ها شناسایی نمی شود .
Amit Assaraf بیان کرد که : متأسفانه، EDR ها این فعالیت را شناسایی نمیکنند VSCode برای خواندن تعداد زیادی فایل و اجرای بسیاری از دستورات و ایجاد فرآیندهای child ساخته شده است. بنابراین EDR ها نمی توانند بفهمند که آیا فعالیت VSCode یک فعالیت برنامه نویس قانونی است یا یک برنامه افزودنی مخرب.
این افزونه به سرعت مورد توجه قرار گرفت و به اشتباه توسط چندین سازمان با ارزش بالا نصب شد، از جمله یک شرکت سهامی عام با ارزش بازار ۴۸۳ میلیارد دلار، شرکت های امنیتی بزرگ، و شبکه دادگاه عدالت ملی.
از آنجایی که آزمایش قصد مخربی نداشت، تحلیلگران فقط اطلاعات شناسایی را جمعآوری کردند و اطلاعاتی را در برنامه Read Me، مجوز و کد برنامه اضافه کردند.
وضعیت بازار VSCode
پس از آزمایش موفقیتآمیز، محققان تصمیم گرفتند با استفاده از یک ابزار سفارشی به نام ExtensionTotal برای یافتن افزونه های مخرب و بررسی دقیق ان ها در vscode بپردازند.
از طریق این فرآیند، موارد زیر بدست آمد :
۱۲۸۳ مخرب شناخته شده (۲۲۹ میلیون نصب).
۸۱۶۱ در حال ارتباط با آدرس های IP ناشناس
۱۴۵۲ فایل اجرایی ناشناخته در حال اجرا.
در زیر نمونه ای از کدهای موجود در پسوند Visual Studio Code Marketplace مخرب است که یک reverse shell به سرور قربانی دارد.
نبود کنترلهای دقیق امنیتی و مکانیسمهای بازبینی کد در VSCode Marketplace مایکروسافت به هکرها اجازه میدهد تا سوءاستفاده گسترده از این پلتفرم را افزایش دهند و به راحتی افزونه مخرب خود را بارگزاری کنند.
محققان هشدار دادند: «همانطور که از روی اعداد و ارقام میتوان فهمید، افزونههای زیادی وجود دارد که خطراتی برای سازمانها در بازار کد ویژوال استودیو ایجاد میکند.
تمام افزونه های مخرب شناسایی شده توسط محققان برای حذف به مایکروسافت گزارش می شوند. با این حال، هنوز یک سری افزونه مخرب در بازار vscode وجود دارد.
محققان قصد دارند هفته آینده ابزار ExtensionTotal خود را به همراه جزئیاتی در مورد قابلیت های عملیاتی آن منتشر کنند و آن را به عنوان یک ابزار رایگان برای کمک به توسعه دهندگان برای اسکن محیط خود برای تهدیدات احتمالی منتشر کنند.
همچنین افزونه هایی که نمی شناسید را نصب نکنید.