Extensões Maliciosas do VS Code Exploraram Brecha do Marketplace

Pesquisadores de cibersegurança descobriram uma brecha no Marketplace do Visual Studio Code (VS Code) da Microsoft que permite que atacantes reutilizem nomes de extensões deletadas, potencialmente permitindo que malware infiltre fluxos de trabalho de desenvolvedores sob a aparência de ferramentas confiáveis.

Pesquisadores da empresa de segurança da cadeia de suprimentos ReversingLabs (RL) descobriram o problema após rastrear uma série de extensões maliciosas chamadas ahbanC.shiba em junho. A extensão acabou tendo a mesma capacidade que as duas extensões anteriores sinalizadas no início deste ano, ahban.shiba e ahban.cychelloworld, ambas já removidas do Marketplace.

Isso levantou uma questão crítica: pelas regras do Marketplace, se o VS Code exige que todos os nomes de extensões sejam únicos, como “shiba” poderia ressurgir sob um editor diferente?

Como o Ataque Funciona

Como seus predecessores, a extensão ahbanC.shiba atuou como um simples downloader. A extensão registrou apenas um comando: shiba.aowoo, que buscava um script PowerShell de um servidor remoto (54.85.145.93).

Dependendo do sistema operacional, o script criptografava arquivos em uma pasta testShiba e exigia um token Shiba Inu (uma criptomoeda construída na Ethereum) como resgate. No entanto, como nas versões anteriores, nenhum endereço de carteira foi fornecido, sugerindo que a campanha de ransomware ainda estava em desenvolvimento.

Quando as extensões ahban.shiba e ahban.cychelloworld foram removidas, os pesquisadores presumiram que seus nomes seriam aposentados permanentemente. Em vez disso, apenas algumas semanas depois, no final de março, uma nova extensão—ahbanC.shiba—apareceu no Marketplace carregando o mesmo código malicioso que seus predecessores. Isso provou alarmantemente que os nomes de extensões deletadas no Marketplace do VS Code não estavam trancados, mas poderiam ser reutilizados livremente.

A Brecha Oculta do Marketplace

Para entender por que isso aconteceu, a RL investigou o sistema de gerenciamento de extensões do Marketplace. A investigação revelou que o problema reside em como o VS Code lida com a remoção de extensões. Os editores do Marketplace têm duas opções: despublicar ou remover.

• Extensões despublicadas desaparecem do Marketplace, mas permanecem ligadas ao seu nome original e estatísticas. Elas não podem ser republicadas por mais ninguém. Em outras palavras, ninguém mais pode reivindicar o nome.
• Extensões removidas, no entanto, são completamente apagadas do Marketplace. Isso significa que seus nomes se tornam disponíveis novamente, permitindo que qualquer pessoa — incluindo atores maliciosos — o reivindique e publique código malicioso sob o mesmo nome.

Em outras palavras, uma vez que uma extensão legítima é deletada, seu nome confiável está efetivamente à disposição. A RL confirmou isso publicando com sucesso extensões de teste usando nomes ligados a pacotes previamente deletados, incluindo aqueles com um histórico de malware, como Solidity-Ethereum.

Um Problema Mais Amplo em Ecossistemas de Código Aberto

Esta não é a primeira vez que a reutilização de nomes foi explorada. No início de 2023, a RL descobriu que o Python Package Index (PyPI) também permitia a reutilização de nomes para pacotes deletados. Um pacote malicioso, termcolour, reapareceu anos depois que o original legítimo foi removido.

Enquanto o PyPI desde então implementou restrições para prevenir a reutilização de nomes associados a pacotes maliciosos, o Marketplace do VS Code não possui tais proteções.

“A descoberta dessa brecha expõe uma nova ameaça: que o nome de qualquer extensão removida pode ser reutilizado, e por qualquer um. Isso significa que se alguma extensão legítima e muito popular for removida, seu nome está à disposição”, escreveu Lucija Valenti, Pesquisadora de Ameaças de Software na ReversingLabs, em um post no blog.

O Que os Desenvolvedores Podem Fazer

Enquanto a Microsoft ainda não anunciou uma correção para a brecha do Marketplace, especialistas em segurança enfatizam que os desenvolvedores devem permanecer vigilantes. Eles recomendam verificar cuidadosamente as extensões antes da instalação, mesmo que os nomes pareçam familiares, e verificar contas de editores em vez de confiar apenas nos nomes das extensões.

Além disso, é aconselhável monitorar continuamente as dependências com ferramentas de segurança que podem detectar pacotes maliciosos. Adicionalmente, os desenvolvedores podem utilizar plataformas que oferecem avaliações de risco gratuitas em vários repositórios, incluindo o Marketplace do VS Code. **

“A lição a ser aprendida com esta campanha é que é importante lembrar que muitos perigos estão à espreita no Marketplace do VS Code e em outros repositórios de código aberto. É essencial que desenvolvedores e usuários dessas plataformas estejam atentos e cientes do que está sendo incluído no ciclo de desenvolvimento”, concluiu Valenti.