VSCode Marketplace, un référentiel pour les extensions Visual Studio Code (VSC), a des défenses de sécurité faibles, laissant les acteurs de la menace abuser et distribuer du code malveillant à ses millions d'utilisateurs, ont averti les spécialistes.
Un rapport AquaSec a testé la plate-forme et a conclu que l'utilisation abusive pour diffuser des logiciels malveillants (ouvre dans un nouvel onglet) était ridiculement facile.
De plus, les chercheurs affirment qu'ils n'étaient pas les premiers à remarquer les vulnérabilités : certains acteurs de la menace étaient déjà actifs.
Usurpation de détails importants
Dans un article de blog (s'ouvre dans un nouvel onglet), l'équipe d'AquaSec a expliqué comment elle avait tenté de télécharger une version malveillante et typographique d'une extension populaire avec vingt-sept millions de téléchargements.
Il s'est rendu compte que le malware ne nécessitait même pas de faute de frappe : la plateforme dispose d'une fonctionnalité appelée « displayName » qui permet aux auteurs de nommer leurs extensions comme ils le souhaitent ; Le nom n'a pas besoin d'être unique. Ainsi, ils l’ont nommé exactement de la même manière que le nom légal.
Puis ils ont réalisé qu'ils pouvaient également utiliser le même logo et la même description que le projet légal.
De plus, les détails, bien qu'extraits de GitHub, peuvent être déplacés ultérieurement. Cela signifie que les attaquants peuvent simplement falsifier les détails du projet et présenter le logiciel malveillant comme un outil légitime avec un long historique de développement. La seule chose qui ne pouvait pas être falsifiée était le nombre de téléchargements et le classement de la recherche.
"Cependant, au fil du temps, un nombre croissant d'utilisateurs ignorants auront téléchargé notre fausse extension. À mesure que ces chiffres augmenteront, l'extension gagnera en crédibilité", a déclaré AquaSec. « De plus, puisqu’il est possible d’acheter plusieurs services sur le dark web, un attaquant trop déterminé pourrait potentiellement manipuler ces chiffres en achetant des services qui gonfleraient le nombre de téléchargements et d’étoiles. »
AquaSec a également examiné le badge de vérification sur le marché VSCode et a conclu que la fonctionnalité n'a pas de sens, car tout message avec un domaine acheté en obtient un, quelle que soit la pertinence du domaine pour le projet logiciel.
Même si les chercheurs n’ont effectué qu’un dernier test, ils ont également découvert un véritable code malveillant caché dans le magasin. Ceux-ci sont appelés « API Generator Plugin » et « Code Tester ».
Visual Studio Code est l'éditeur de code source de Microsoft, utilisé par environ XNUMX % des développeurs de logiciels professionnels dans le monde, selon BleepingComputer. Les extensions peuvent être utilisées pour installer des plugins, voler le code source ou le modifier dans l'IDE VSCode.
Via : BleepingComputer (s'ouvre dans un nouvel onglet)