I ricercatori di Aqua Security hanno scoperto che gli hacker utilizzano Visual Studio Marketplace per condurre attacchi alla supply chain.
In un nuovo rapporto, i ricercatori hanno scoperto che gli aggressori potrebbero impersonare le popolari estensioni VS Code per indurre gli sviluppatori a scaricare versioni dannose.
VS Code è l’IDE più popolare, con circa il 74,48% degli sviluppatori che lo utilizza. La vasta gamma di estensioni disponibili per VS Code è in parte ciò che ne determina la popolarità.
Ecco alcune delle estensioni VS Code più popolari:
“È una sfida anche per gli sviluppatori attenti alla sicurezza distinguere tra estensioni dannose e benigne”, spiega Ilay Goldman, Security Researcher presso Aqua Security.
“Se consideri che chiunque può creare un utente anche con un’e-mail temporanea, la verità è che chiunque può pubblicare un’estensione che potrebbe essere elencata nel Marketplace.”
Aqua Security ha caricato un proof of concept che si spaccia per un’estensione legittima:
Illegittima:
L’app di mascheramento sfrutta anche il “typosquatting” (che crea un semplice errore di battitura) nell’URL.
“Quando si digita ‘pretier’,cosa che gli sviluppatori potrebbero benissimo fare inavvertitamente, la nostra estensione mascherata è l’unico risultato”, aggiunge Goldman.
I ricercatori evidenziano anche preoccupazioni sulla procedura di verifica. Viene visualizzato un segno di spunta blu non per gli autori che sono verificati come chi dicono di essere, come ci si aspetterebbe, ma semplicemente che l’editore ha dimostrato la proprietà di qualsiasi dominio.
I pacchetti dannosi vengono regolarmente caricati su gestori di pacchetti come NPM. Aqua Security rileva la possibilità che gli sviluppatori di estensioni legittimi abbiano il proprio lavoro compromesso utilizzando un pacchetto dannoso come dipendenza.
I risultati di Aqua Security mostrano che è più importante che mai controllare tre volte le estensioni che installi e i pacchetti che stai utilizzando.