VS Code供应链安全审计:尚存恶意扩展,有的包含木马、有些甚至超45000次下载
VSCode(Visual Studio Code 的简称)是微软是TypeScript语言开发的一款流行的开源免费代码编辑器。VScode是一个高效且可定制可扩展的代码编辑编环境,可以支持最广泛的编程语言、框架和工具。VSCode目前大受欢迎,是开发者最喜爱的代码编辑器之一。VSCode广受欢迎最主要原因之一是VSCode扩展市场(Extensions Marketplace),开发人员通过可以在扩展市场中搜索和安装新的扩展以增强他们的编码体验。
VSCode扩展市场包括微软官方、各个语言和应用框架官方和第三方个人扩展插件。
作为软件开发供应链环节的重要一环,VSCode及其生态的安全性至关重要,那么VSCode插件安全情况如何了,最近有安全团队对其做了安全审计,仍然发现有恶意插件滋生,并且有一个甚至下载安装超过4万5。
概述
截止今天,VSCode扩展市场存在约5万个扩展。VSCode扩展是可以安装以升级编辑器功能的附加组件;可用于添加新功能、支持新编程语言、与外部工具和服务集成等。恶意扩展程序可能会通过安装恶意软件、窃取用户数据或执行其他有害操作来给用户带来安全风险。
为了防止恶意扩展的传播, VSCode扩展市场采取了多项安全措施和策略。例如通过自动扩展扫描工具来检测和从市场中删除恶意扩展;通过用户评论和评级来识别和报告恶意扩展。
威胁行为者一直在寻找感染用户的新方法,而开源代码组件可能是常见的感染源——尤其是更常见的感染源。
最近有安全团队,对VSCode扩展市场进行了安全审计,仍然发现了一些恶意扩展,其中一些恶意扩展,冒充为AI插件并有了总计45000次的安装。他们还发现了具有可疑代码模式但没有明显恶意迹象的扩展。
恶意扩展程序
Prettiest java
安全分析中发现的最大的一个扩展被命名为“Prettiest java”。根据其简介,这应该是一个“java AI助手”,他通过名称抢注试图通过模仿流行的Prettier-Java代码格式化程序项目来欺骗用户。查看其代码,可以发现一个经典的PII窃取代码, 在PyPI发行版中这很常见。其典型行为为搜索本地密钥并使用Discord webhook将它们发送给攻击者。
Theme Darcula dark
另一个扩展是 “Theme Darcula dark”,根据其简介“尝试提高VS Code上的 Dracula颜色一致性,使其在编码会话期间更加悦目。这个扩展很有意思:
它非常受欢迎,安装量超过45000次。
其中包含的恶意代码。
虽然扩展应该是一个简单的主题配置(不应包含代码)。其代码行为了存在一个简单的PII窃取木马(这在NPM恶意包中很常见),可以将有关安装程序设置的大量元数据发送到远程机器。对一个代码编辑器主题扩展内容,显然这是不合理的行为。
Python-vscode
还有一个名为“python-vscode”的恶意扩展。虽然该扩展没有简介,但是它安装量明显也很好,可见很多人被他欺骗并下载安装了。
通过这样一个扩展名称,如果有Python用在VSCode中搜索Python语言编扩展,显然很容易中招。通过审阅这个扩展代码,其行为了中存在一个注入安装程序木马的混淆语句。有趣的是,这段代码是一个常见的C# shell注入器代码模式。
我们对这段base64编码的代码解码:
可疑扩展
安全分析中也发现了多个扩展使用可疑代码模式但同时又不是明显恶意的例子。其中最值得注意的例子有些使用私有注册表下载依赖的包,而非NPM,这可能是一种悄悄潜入恶意包的方式,还有一些使用IP地址下载资源。
理论上两者都可以被滥用来感染安装程序,但目前似乎没有明确的证据表明确实如此。
总结
目前安全审计发现的所有有问题的报告已经提交给了微软,并且这些恶意扩展已经在VSCode扩展市场中被删除了。如果有下载使用过上面提到的扩展同学,请赶紧清除以上扩展,并且详细检查分析自己的机器,以防止被人攻击利用过。
另外,值得注意的是,所发现的这些恶意扩展并不是新加入的扩展,有些已经在市场中存在一年多了。
供应链案例屡见不鲜,并且其攻击也变得越来越频繁。为了确保整个系统的安全,要求开发人员并仔细检查使用的每个工具、依赖、小插件、皮肤和字体、都很有必要。
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20230523A019DA00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
