Search for:

Extensions VSCode avec code malveillant installées 229 millions de fois

Le marché des extensions Visual Studio Code (VSCode) de Microsoft est en proie à des téléchargements malveillants et à un manque de contrôles de sécurité, a déclaré un groupe de chercheurs dans une lettre ouverte publiée sur Medium.

La lettre du 3 juin est la troisième partie d’une série de six blogs rédigés par un groupe comprenant Amit Assaraf, directeur technique de Landa, Itay Kruk, fondateur d’AppTotal, et Idan Dardikman, chercheur en sécurité chez Zscaler, qui ont mené une expérience le mois dernier dans laquelle ils ont « piraté » plus de 100 organisations, dont plusieurs entreprises multimilliardaires, avec une version typosquattée d’une extension VSCode populaire.

« Au cours de nos recherches sur le marché, nous avons découvert un nombre incroyable de failles de sécurité mises en œuvre par Microsoft, qui offrent aux acteurs malveillants des moyens incroyables d’acquérir de la crédibilité et d’accéder », a écrit le groupe dans son blog du 4 juin.

Visual Studio Code est l’environnement de développement intégré (IDE) le plus utilisé avec plus de 15 millions d’utilisateurs mensuels, et le VSCode Marketplace obtient plus de 4,5 millions de vues par mois, offrant une gamme d’extensions telles que des thèmes de couleurs et des embellisseurs de code. Le marché héberge environ 60 000 extensions provenant d’environ 45 000 éditeurs, et le développeur moyen utilise environ 40 extensions IDE, a estimé le groupe.

 

Les extensions VSCode malveillantes gagnent rapidement du terrain

Dans leur premier blog, le groupe a présenté une expérience qu’ils ont menée dans laquelle ils ont créé une copie typosquattée de l’extension populaire Dracula Theme, qu’ils ont appelée Darcula Official.

Outre le code source légitime de Dracula, les chercheurs ont inclus un code qui envoyait le code sur lequel la victime travaillait à leur propre serveur, ainsi que des informations sur la machine de la victime, telles que le nom d’hôte, le domaine, la plate-forme et le nombre d’extensions installées.

La création de l’extension Darcula a pris 30 minutes, ont rapporté les chercheurs, et sa première installation a eu lieu en quelques minutes. Les chercheurs ont également rapidement gagné en crédibilité pour leur fausse extension en enregistrant le domaine « darculatheme.com » et en l’associant à leur compte VSCode Studio pour devenir un « éditeur vérifié » avec une coche bleue à côté de leur liste. En quelques jours, Darcula Official a été présenté sur la première page du marché en tant qu’extension « tendance » et a été installée plus de 100 fois.

Les chercheurs ont révélé que les organisations qui ont installé leur extension potentiellement dangereuse comprenaient plus de 10 sociétés valant plusieurs milliards de dollars, dont une société cotée en bourse avec une capitalisation boursière de 483 milliards de dollars, ainsi qu’une importante société de cybersécurité et un réseau de tribunaux nationaux.

 

Le groupe a fait des révélations responsables à ces victimes, en plus d’une divulgation incluse dans la licence de l’extension, qui déclarait : « Ceci est un fork du thème Dracula créé à des fins de recherche » et notait que l’extension collectait certaines données et démontrait l’exécution de code.

Les chercheurs découvrent près de 1 300 extensions VSCode malveillantes avec 229 millions d’installations au total

À la suite de leur expérience, les analystes ont mené des recherches plus approfondies sur l’écosystème du marché VSCode et ont découvert un certain nombre de pratiques préoccupantes et d’extensions potentiellement dangereuses, dont 1 283 avec des dépendances malveillantes connues qui représentaient au total 229 millions d’installations.

De plus, ils ont trouvé 8 161 extensions qui communiquent avec une adresse IP codée en dur, 1 452 qui exécutent un binaire exécutable ou une DLL inconnue sur la machine hôte, 145 signalées comme malveillantes avec un niveau de confiance élevé par VirusTotal et 87 qui tentent de lire la base de données /etc/passwd sur la machine hôte.

En plus de la barre basse pour devenir un éditeur vérifié, qui nécessitait uniquement de lier un domaine vérifié par DNS à son compte d’éditeur, les chercheurs ont découvert la possibilité de copier facilement des extensions légitimes en liant le référentiel GitHub de cette extension au copieur, ce qui ne nécessite aucune preuve que le dépôt appartenait à l’éditeur. Le groupe a trouvé 2 304 extensions utilisant le dépôt GitHub d’un autre éditeur comme dépôt « officiel » de leur extension.

D’autres problèmes découverts au cours de l’expérience comprenaient la possibilité de gonfler les numéros d’installation à l’aide d’un fichier Docker configuré pour s’exécuter en boucle et la possibilité de générer de faux avis positifs pour une extension.

Microsoft trop laxiste sur les autorisations d’extension VSCode, disent les chercheurs

L’un des principaux problèmes abordés dans la lettre ouverte adressée à Microsoft est l’absence d’un modèle d’autorisation pour les extensions VSCode, qui permet aux extensions d’effectuer n’importe quelle action API, notamment la lecture et l’écriture de fichiers et l’exécution de code sans autorisation explicite de l’utilisateur.

« Contrairement à des cas similaires comme les extensions Chrome ou les compléments Gmail, les extensions VSCode n’ont aucune limitation sur ce qu’elles peuvent faire sur l’hôte. Ils peuvent générer des processus enfants, exécuter des appels système et importer n’importe quel package NodeJS de leur choix, ce qui les rend très risqués », ont écrit les analystes.

Il est peu probable que les outils de détection et de réponse des points de terminaison (EDR) protègent les systèmes contre les extensions VSCode malveillantes en raison de la grande confiance accordée à VSCode. En tant qu’IDE, VSCode est censé effectuer des activités telles que la lecture et l’écriture de fichiers et l’exécution de code, et les EDR peuvent ne pas être capables de faire la distinction entre l’utilisation légitime de VSCode par un développeur et l’activité provenant d’une extension malveillante, ont écrit les auteurs.

De plus, comme les extensions VSCode sont mises à jour silencieusement et automatiquement par défaut, un éditeur malveillant peut mener une attaque secrète de la chaîne d’approvisionnement en gagnant du terrain avec une extension légitime avant d’y insérer ultérieurement du code malveillant, un peu comme ce qui s’est produit avec les utilitaires xz plus tôt cette année.

« Cher Microsoft, vous avez créé un produit étonnant, utilisé et adoré par des millions de développeurs, mais ces développeurs vous font confiance pour concevoir un produit sûr. Je ne peux qu’espérer que les failles de sécurité mentionnées dans cet article de blog seront corrigées dans les mois à venir », ont écrit les chercheurs dans la conclusion de leur lettre.

Assaraf, Kruk et Dardikman ont déclaré qu’ils prévoyaient de publier prochainement un outil gratuit appelé ExtensionTotal qui aidera les développeurs à détecter les risques potentiels sur le marché VSCode.

Retour aux actus

Les chercheurs en sécurité ont découvert une vulnérabilité critique dans les extensions de Visual Studio Code (VSCode) de Microsoft, avec des dépendances malveillantes signalées par VirusTotal, des adresses IP codées en dur, et des binaires exécutables non identifiés, soulignant l’importance d’un modèle d’autorisation rigoureux et d’outils comme ExtensionTotal pour protéger les utilisateurs.

vulnérabilité, Visual Studio Code, VSCode, Microsoft, extensions, sécurité, code malveillant, typosquattage, Dracula Theme, Darcula Official, piratage, organisations, entreprises, éditeur vérifié, Medium, expérience, divulgation responsable, dépendances malveillantes, VirusTotal, IP codée en dur, binaire exécutable, DLL inconnue, /etc/passwd, dépôt GitHub, Docker, avis positifs, modèle d’autorisation, API, EDR, chaîne d’approvisionnement, ExtensionTotal, outil gratuit, chercheurs en sécurité