Зловредные расширения VS Code используют лазейку в Marketplace

Исследователи в области кибербезопасности обнаружили лазейку в Marketplace Microsoft Visual Studio Code (VS Code), которая позволяет злоумышленникам повторно использовать имена удаленных расширений, что потенциально позволяет вредоносному ПО проникать в рабочие процессы разработчиков под видом доверенных инструментов.

Исследователи из компании по безопасности цепочки поставок ReversingLabs (RL) выявили проблему после отслеживания ряда вредоносных расширений под названием ahbanC.shiba в июне. Оказалось, что это расширение обладало такой же функциональностью, как и два предыдущих расширения, отмеченных ранее в этом году, ahban.shiba и ahban.cychelloworld, которые уже были удалены из Marketplace.

Это вызвало критический вопрос: согласно правилам Marketplace, если VS Code требует, чтобы все имена расширений были уникальными, как могло «shiba» снова появиться под другим издателем?

Как работает атака

Как и его предшественники, расширение ahbanC.shiba действовало как простой загрузчик. Расширение зарегистрировало только одну команду: shiba.aowoo, которая загружала скрипт PowerShell с удаленного сервера (54.85.145.93).

В зависимости от операционной системы скрипт шифровал файлы в папке testShiba и требовал один токен Shiba Inu (криптовалюта, основанная на Ethereum) в качестве выкупа. Однако, как и в предыдущих версиях, адрес кошелька не был предоставлен, что указывает на то, что кампания-вымогатель все еще находилась в разработке.

Когда расширения ahban.shiba и ahban.cychelloworld были удалены, исследователи предположили, что их имена будут навсегда выведены из обращения. Вместо этого, всего через несколько недель в конце марта на Marketplace появилось новое расширение — ahbanC.shiba — с тем же вредоносным кодом, что и у его предшественников. Это тревожно подтвердило, что удаленные имена расширений на Marketplace VS Code вовсе не были заблокированы, а могли быть свободно повторно использованы.

Скрытая лазейка Marketplace

Чтобы понять, почему это произошло, RL углубилась в систему управления расширениями Marketplace. Их расследование показало, что проблема заключается в том, как VS Code обрабатывает удаление расширений. Издатели Marketplace имеют два варианта: отменить публикацию или удалить.

• Неопубликованные расширения исчезают из Marketplace, но остаются привязанными к своему оригинальному имени и статистике. Их не может переопубликовать никто другой. Другими словами, никто другой не может претендовать на имя.
• Удаленные расширения, однако, полностью стираются из Marketplace. Это означает, что их имена снова становятся доступными, позволяя любому — включая злоумышленников — претендовать на них и публиковать вредоносный код под тем же именем.

Другими словами, как только законное расширение удаляется, его доверенное имя фактически становится доступным для захвата. RL подтвердила это, успешно опубликовав тестовые расширения, используя имена, связанные с ранее удаленными пакетами, включая те, которые имели историю вредоносного ПО, такие как Solidity-Ethereum.

Широкая проблема в экосистемах с открытым исходным кодом

Это не первый случай, когда повторное использование имен было использовано в злонамеренных целях. В начале 2023 года RL обнаружила, что Python Package Index (PyPI) также позволял повторное использование имен для удаленных пакетов. Один вредоносный пакет, termcolour, снова появился через несколько лет после удаления оригинального законного.

Хотя с тех пор PyPI внедрил ограничения, чтобы предотвратить повторное использование имен, связанных с вредоносными пакетами, в Marketplace VS Code таких защит не предусмотрено.

«Обнаружение этой лазейки открывает новую угрозу: имя любого удаленного расширения может быть повторно использовано, и кем угодно. Это означает, что если какое-либо законное и очень популярное расширение будет удалено, его имя будет доступно для захвата», — написала Люция Валенти, исследователь угроз программного обеспечения в ReversingLabs, в блоге.

Что могут сделать разработчики

Хотя Microsoft еще не объявила о решении проблемы с лазейкой в Marketplace, эксперты по безопасности подчеркивают, что разработчики должны оставаться бдительными. Они рекомендуют тщательно проверять расширения перед установкой, даже если имена выглядят знакомыми, и проверять учетные записи издателей, а не полагаться только на имена расширений.

Кроме того, рекомендуется постоянно мониторить зависимости с помощью инструментов безопасности, которые могут обнаруживать вредоносные пакеты. Дополнительно разработчики могут использовать платформы, которые предлагают бесплатные оценки рисков по нескольким репозиториям, включая Marketplace VS Code. **

«Урок, который можно извлечь из этой кампании, заключается в том, что важно помнить, что многие опасности поджидают на Marketplace VS Code и других репозиториях с открытым исходным кодом. Для разработчиков и пользователей этих платформ крайне важно быть внимательными и осведомленными о том, что включается в цикл разработки», — заключила Валенти.