2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

在上一篇博文“1/6 | 我们如何利用假的 VSCode 扩展在 30 分钟内入侵价值数十亿美元的公司”中,我们讲述了我们如何在 30 分钟内创建一个 Visual Studio Code 扩展,该扩展后来被证实安装在多家市值数十亿美元的公司内部,包括世界上最大的安全公司之一,以及某国的法院网络。

意识到我们实验的重要性后,我们决定深入研究 VSCode 市场中恶意扩展的当前状态。

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

Visual Studio Code 市场统计

让我们了解一些基本知识,VSCode 市场托管来自约 45,000 个不同发布者的约 60,000 个扩展,其中只有 1,800 个经过验证(我们稍后会谈到这一点)。

虽然市场上有 60,000 个扩展,但总安装量高达 33 亿次,平均每个开发人员在其 IDE 中安装40 个扩展。

在 60,000 个扩展中,每个扩展的平均安装次数约为 55,000 次,而中位数仅为 500 次安装。

仅在去年一年(2023 年),VSCode 市场托管的扩展数量就增长了 25% 。

虽然这些数据对于微软来说总体来说很棒,但它们对组织来说却是一个担忧,因为扩展的普及度正在大幅增长,并且扩展数量的不断增长为威胁行为者融入人群并渗透到组织中提供了越来越多的机会。

那么,Visual Studio Code 正在不断发展并且几乎无处不在,但为什么它会存在安全风险呢?

Visual Studio Code 是第一个采用“编写自己的 IDE 的基本方法”的 IDE(集成开发环境)。它开创了一个新世界,在这个世界中,VSCode 不再提供功能繁多的 IDE 来试图为所有开发人员解决所有问题,而是成为一个任何人都可以扩展的平台,允许开发人员挑选完成工作所需的工具。这种新方法取得了巨大的成功,在月活跃用户方面迅速超越了当时的市场领导者 Jetbrains。

从本质上讲,这意味着微软需要创建一个市场,让开发人员可以共享他们用来提高工作效率的工具,即 VSCode 市场,而这正是安全风险出现的地方。

IDE 是组织中最敏感的安全瓶颈之一,可以访问组织的代码库、版本控制以及生产环境的机密和密钥。不仅如此,IDE 通常具有很高的特权,因为它们在主机上执行需要管理员级别权限的代码和操作。

通过安装扩展,这反过来意味着赋予扩展发布者对主机环境的完全访问权限。

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

Visual Studio Code 中的扩展没有沙盒,它们可以访问 IDE 内部的任何内容,并且可以在主机上执行任何操作,而开发人员不会收到任何反馈。我将在下面链接的系列下一篇博客文章中更深入地讨论这些问题。

好了,细节和背景介绍得足够多了,我们发现了什么?

请允许我向您介绍我们发现的恶意和高风险扩展的奇妙世界,这些扩展目前(2024 年 6 月)托管在 VSCode 市场上。

让我们谈谈数字,我们在初步研究中发现 –

1,283 个扩展包含已知的恶意依赖项,总计安装量达 2.29 亿次(基于 Google OSV 扫描仪)。

87 个扩展尝试读取主机系统上的 /etc/passwd 文件。

8161 个扩展与来自 JS 代码的硬编码 IP 地址进行通信。

1,452 个扩展在主机上运行未知的可执行二进制文件或 DLL。

267 个扩展已验证其中嵌入的硬编码秘密。

VirusTotal 对145 个扩展的代码和资源进行了高可信度标记。

2,304 个使用其他发布者的 Github repo 作为其官方列出的存储库,这意味着模仿扩展。

您的组织中是否有一项崭新的 AI 政策?发现783 个扩展使用第三方 AI 模型作为其功能的一部分。

即使恶意扩展的实际数量仅为我们最初数量的 5%,我们的处境也非常糟糕。更不用说,高风险但尚未恶意的扩展对组织来说也是一个很大的风险,因为由于我在下一篇博客文章中提到的安全设计缺陷,恶意代码总是可以被引入。还有更多,我在博客文章末尾附上了我们在研究恶意和危险扩展时发现的惊人代码片段,它们都已报告给微软。

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

从数字可以看出,Visual Studio Code 市场上有大量扩展对组织构成风险。VSCode 扩展是一个被滥用和暴露的攻击垂直领域,具有零可见性、高影响和高风险。此问题对组织构成直接威胁,值得安全社区关注。

在完成这项研究和上一篇博文中的实验后,我们决定写一封信给微软,指出扩展和 VSCode 市场中存在的巨大安全设计缺陷,这些缺陷导致了这种垂直攻击。我们下一篇关于存在巨大缺陷的市场的博客文章现已发布—— “ 3/6 | 致微软的一封信:揭露 Visual Studio Code 扩展的设计缺陷

请务必关注我们——

阿米特·阿萨拉夫(Amit Assaraf )——https : //x.com/amitassaraf

Itay Kruk — https://x.com/ity_krk

Idan Dardikman — https://x.com/IDardikman

恶意和危险扩展列表

以下是我们在研究中发现的 VSCode 市场上的一些有趣的恶意代码片段(截至 2024 年 6 月):

在自称是代码美化器(CWL Beautifer)的扩展程序中发现的反向 shell:

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

在主机上运行“whoami”并将其发送到硬编码 IP 的代码片段:

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

将主机名、 ip 发送到未知服务器的代码

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

一段似乎对主机进行侦察的代码:

2/6 揭露恶意扩展:来自VS Code市场令人震惊的统计数据

一旦发现明显恶意的扩展,我们就会添加更多内容并更新此列表。

from

转载请注明出处及链接

Leave a Reply

您的邮箱地址不会被公开。 必填项已用 * 标注