builderall


Un grupo de investigadores israelíes exploró la seguridad del mercado Visual Studio Code y consiguió «infectar» a más de 100 organizaciones troyanizando una copia del popular tema 'Dracula Official' para incluir código de riesgo. Investigaciones posteriores en el mercado de VSCode encontraron miles de extensiones con millones de instalaciones.


Visual Studio Code (VSCode) es un editor de código fuente publicado por Microsoft y utilizado por muchos desarrolladores profesionales de software de todo el mundo.


Microsoft también gestiona un mercado de extensiones para el IDE, llamado Visual Studio Code Marketplace, que ofrece complementos que amplían la funcionalidad de la aplicación y proporcionan más opciones de personalización.


Informes anteriores han puesto de manifiesto lagunas en la seguridad de VSCode, permitiendo la suplantación de extensiones y editores y extensiones que roban tokens de autenticación de desarrolladores. También se han producido descubrimientos que se han confirmado como maliciosos.


Typosquatting del tema Drácula

Para su reciente experimento, los investigadores Amit Assaraf, Itay Kruk e Idan Dardikman crearon una extensión que hace typosquat del tema «Drácula Oficial», un popular esquema de colores para varias aplicaciones que tiene más de 7 millones de instalaciones en el VSCode Marketplace.


Drácula es utilizado por un gran número de desarrolladores debido a su modo oscuro visualmente atractivo con una paleta de colores de alto contraste, que es fácil para los ojos y ayuda a reducir la fatiga visual durante largas sesiones de codificación.


La extensión falsa utilizada en la investigación se llamaba «Darcula», y los investigadores incluso registraron un dominio coincidente en «darculatheme.com». Este dominio se utilizó para convertirse en un editor verificado en VSCode Marketplace, lo que añadió credibilidad a la extensión falsa.


La extensión Darcula en el mercado VSCode

Fuente: Amit Assaraf | Medium


Su extensión utiliza el código real del tema legítimo Darcula, pero también incluye un script añadido que recopila información del sistema, incluido el nombre de host, el número de extensiones instaladas, el nombre de dominio del dispositivo y la plataforma del sistema operativo, y la envía a un servidor remoto a través de una solicitud POST HTTPS.


Código de riesgo añadido a la extensión Darcula

Fuente: Amit Assaraf | Medium


Los investigadores señalan que el código malicioso no es detectado por las herramientas de detección y respuesta de endpoints (EDR), ya que VSCode es tratado con indulgencia debido a su naturaleza de sistema de desarrollo y pruebas.


«Desafortunadamente, las herramientas tradicionales de seguridad de puntos finales (EDR) no detectan esta actividad (como hemos demostrado con ejemplos de RCE para organizaciones seleccionadas durante el proceso de divulgación responsable), VSCode está construido para leer muchos archivos y ejecutar muchos comandos y crear procesos hijos, por lo que los EDR no pueden entender si la actividad de VSCode es una actividad legítima de desarrollador o una extensión maliciosa». - Amit Assaraf


La extensión no tardó en ganar adeptos, instalándose por error en múltiples objetivos de alto valor, entre ellos una empresa que cotiza en bolsa con una capitalización bursátil de 483.000 millones de dólares, importantes empresas de seguridad y una red nacional de tribunales de justicia.


Los investigadores han optado por no revelar los nombres de las empresas afectadas.


Dado que el experimento no tenía intenciones maliciosas, los analistas sólo recogieron información identificativa e incluyeron una revelación en el Léame de la extensión, la licencia y el código.


Localización de las víctimas 24 horas después de la publicación de Darcula en VSC Marketplace

Fuente: Amit Assaraf | Medium


Estado del mercado VSCode

Tras el éxito del experimento, los investigadores decidieron sumergirse en el panorama de amenazas de VSCode Marketplace, utilizando una herramienta personalizada que desarrollaron llamada 'ExtensionTotal' para encontrar extensiones de alto riesgo, desempaquetarlas y escudriñar fragmentos de código sospechosos.


A través de este proceso, han encontrado lo siguiente:



A continuación se muestra un ejemplo de código encontrado en una extensión maliciosa de Visual Studio Code Marketplace que abre un shell inverso al servidor del ciberdelincuente.


Shell inverso encontrado en una extensión de embellecimiento de código (CWL Beautifer)

Fuente: Amit Assaraf | Medium


La falta de controles estrictos y de mecanismos de revisión del código en el mercado de VSCode permite a los autores de amenazas abusar de la plataforma de forma desenfrenada, lo que se agrava a medida que aumenta su uso.


«Como se puede deducir por los números, hay una plétora de extensiones que plantean riesgos para las organizaciones en el mercado de Visual Studio Code», advirtieron los investigadores.


"Las extensiones de VSCode son una vertical de ataque abusada y expuesta, con visibilidad cero, alto impacto y alto riesgo. Este problema supone una amenaza directa para las organizaciones y merece la atención de la comunidad de seguridad."


Todas las extensiones maliciosas detectadas por los investigadores fueron comunicadas responsablemente a Microsoft para su eliminación. Sin embargo, en el momento de escribir estas líneas, la gran mayoría sigue estando disponible para su descarga a través de VSCode Marketplace.


Los investigadores planean publicar su herramienta 'ExtensionTotal' junto con detalles sobre sus capacidades operativas la próxima semana, lanzándola como una herramienta gratuita para ayudar a los desarrolladores a escanear sus entornos en busca de amenazas potenciales.


Se pusieron en contacto con Microsoft para preguntarle si tiene previsto revisar la seguridad del Visual Studio Marketplace e introducir medidas adicionales que dificulten la suplantación de identidad y el typosquatting, pero no hemos recibido respuesta al cierre de esta edición.


Fuente: bleepingcomputer