Bösartige VS Code-Erweiterungen nutzen Marktplatzschlupfloch aus

Cybersecurity-Forscher haben ein Schlupfloch im Visual Studio Code (VS Code) Marketplace von Microsoft entdeckt, das es Angreifern ermöglicht, gelöschte Erweiterungsnamen wiederzuverwenden, wodurch Malware möglicherweise in die Arbeitsabläufe von Entwicklern unter dem Deckmantel vertrauenswürdiger Tools eindringen kann.

Forscher der Sicherheitsfirma ReversingLabs (RL) entdeckten das Problem, nachdem sie im Juni eine Reihe bösartiger Erweiterungen namens ahbanC.shiba verfolgt hatten. Die Erweiterung stellte sich als gleichwertig mit den beiden zuvor in diesem Jahr markierten Erweiterungen ahban.shiba und ahban.cychelloworld heraus, die bereits aus dem Marktplatz entfernt worden waren.

Das warf eine kritische Frage auf: Nach den Regeln des Marktplatzes, wenn VS Code verlangt, dass alle Erweiterungsnamen einzigartig sind, wie konnte „shiba“ dann unter einem anderen Herausgeber wieder auftauchen?

Wie der Angriff funktioniert

Wie seine Vorgänger fungierte die Erweiterung ahbanC.shiba als einfacher Downloader. Die Erweiterung registrierte nur einen Befehl: shiba.aowoo, der ein PowerShell-Skript von einem Remote-Server (54.85.145.93) abrief.

Je nach Betriebssystem verschlüsselte das Skript Dateien in einem testShiba-Ordner und forderte einen Shiba Inu-Token (eine Kryptowährung, die auf Ethereum basiert) als Lösegeld. Wie bei den früheren Versionen wurde jedoch keine Wallet-Adresse bereitgestellt, was darauf hindeutet, dass die Ransomware-Kampagne noch in der Entwicklung war.

Als die Erweiterungen ahban.shiba und ahban.cychelloworld entfernt wurden, gingen die Forscher davon aus, dass ihre Namen dauerhaft zurückgezogen würden. Stattdessen tauchte nur wenige Wochen später Ende März eine neue Erweiterung – ahbanC.shiba – auf dem Marktplatz auf, die denselben bösartigen Code wie ihre Vorgänger trug. Dies bewies alarmierend, dass gelöschte Erweiterungsnamen im VS Code Marketplace überhaupt nicht gesperrt waren, sondern frei wiederverwendet werden konnten.

Das versteckte Marktplatzschlupfloch

Um zu verstehen, warum dies geschah, untersuchte RL das Erweiterungsmanagementsystem des Marktplatzes. Ihre Untersuchung ergab, dass das Problem darin liegt, wie VS Code mit der Entfernung von Erweiterungen umgeht. Marktplatzverleger haben zwei Optionen: unpublizieren oder entfernen.

• Unpublizierte Erweiterungen verschwinden aus dem Marktplatz, bleiben jedoch mit ihrem ursprünglichen Namen und ihren Statistiken verbunden. Sie können von niemand anderem erneut veröffentlicht werden. Mit anderen Worten, niemand sonst kann den Namen beanspruchen.
• Entfernte Erweiterungen hingegen werden vollständig vom Marktplatz gelöscht. Das bedeutet, dass ihre Namen wieder verfügbar werden, sodass jeder – einschließlich bösartiger Akteure – sie beanspruchen und bösartigen Code unter demselben Namen veröffentlichen kann.

Mit anderen Worten, sobald eine legitime Erweiterung gelöscht wird, ist ihr vertrauenswürdiger Name effektiv zur Verfügung. RL bestätigte dies, indem sie erfolgreich Testerweiterungen mit Namen veröffentlichten, die mit zuvor gelöschten Paketen verbunden waren, einschließlich solcher mit einer Geschichte von Malware, wie Solidity-Ethereum.

Ein größeres Problem in Open-Source-Ökosystemen

Dies ist nicht das erste Mal, dass die Wiederverwendung von Namen ausgenutzt wurde. Anfang 2023 stellte RL fest, dass das Python Package Index (PyPI) ebenfalls die Wiederverwendung von Namen für gelöschte Pakete erlaubte. Ein bösartiges Paket, termcolour, tauchte Jahre nach der Entfernung des ursprünglichen legitimen Pakets wieder auf.

Während PyPI seitdem Einschränkungen implementiert hat, um die Wiederverwendung von Namen, die mit bösartigen Paketen verbunden sind, zu verhindern, hat der VS Code Marketplace keinen solchen Schutz.

„Die Entdeckung dieses Schlupflochs offenbart eine neue Bedrohung: dass der Name jeder entfernten Erweiterung wiederverwendet werden kann, und von jedem. Das bedeutet, dass, wenn eine legitime und sehr beliebte Erweiterung entfernt wird, ihr Name zur Verfügung steht“, schrieb Lucija Valenti, Software Threat Researcher bei ReversingLabs, in einem Blogbeitrag.

Was Entwickler tun können

Während Microsoft noch keine Lösung für das Marktplatzschlupfloch angekündigt hat, betonen Sicherheitsexperten, dass Entwickler wachsam bleiben müssen. Sie empfehlen, Erweiterungen vor der Installation sorgfältig zu überprüfen, auch wenn die Namen vertraut erscheinen, und die Herausgeberkonten zu verifizieren, anstatt sich nur auf die Erweiterungsnamen zu verlassen.

Darüber hinaus wird auch eine kontinuierliche Überwachung von Abhängigkeiten mit Sicherheitstools empfohlen, die bösartige Pakete erkennen können. Zusätzlich können Entwickler Plattformen nutzen, die kostenlose Risikobewertungen über mehrere Repositories hinweg anbieten, einschließlich des VS Code Marketplace. **

„Die Lehre aus dieser Kampagne ist, dass es wichtig ist, sich daran zu erinnern, dass viele Gefahren im VS Code Marketplace und anderen Open-Source-Repositories lauern. Es ist entscheidend für Entwickler und Nutzer dieser Plattformen, achtsam zu sein und sich bewusst zu sein, was in den Entwicklungszyklus aufgenommen wird“, schloss Valenti.