Un groupe de chercheurs israéliens a exploré la sécurité du marché du code Visual Studio et a réussi à « infecter » plus de 100 organisations en trojan une copie du populaire thème officiel « Dracula » pour inclure du code risqué. Des recherches plus poussées sur le marché VSCode ont révélé des milliers d’extensions avec des millions d’installations.

Visual Studio Code (VSCode) est un éditeur de code source publié par Microsoft et utilisé par de nombreux développeurs de logiciels professionnels dans le monde entier.

Microsoft exploite également un marché d’extensions pour l’EDI, appelé Visual Studio Code Marketplace, qui propose des modules complémentaires qui étendent les fonctionnalités de l’application et offrent davantage d’options de personnalisation.

Des rapports précédents ont mis en évidence des lacunes dans la sécurité de VSCode, permettant l’usurpation d’identité d’extension et d’éditeur et des extensions qui volent des jetons d’authentification de développeur. Il y a également eu des découvertes dans la nature qui ont été confirmées comme malveillantes.

Typosquattage du thème Dracula
Pour leur récente expérience, les chercheurs Amit Assaraf, Itay Kruk et Idan Dardikman ont créé une extension qui typographie le thème « Dracula Official » , une palette de couleurs populaire pour diverses applications qui compte plus de 7 millions d’installations sur le marché VSCode.

Darcula est utilisé par un grand nombre de développeurs en raison de son mode sombre visuellement attrayant avec une palette de couleurs à contraste élevé, qui est agréable pour les yeux et aide à réduire la fatigue oculaire pendant les longues sessions de codage.

La fausse extension utilisée dans la recherche s’appelait « Darcula », et les chercheurs ont même enregistré un domaine correspondant à « darculatheme.com.’ Ce domaine a été utilisé pour devenir un éditeur vérifié sur le marché VSCode, ajoutant de la crédibilité à la fausse extension.

L’extension Dracula sur la place de marché VSCode

Leur extension utilise le code réel du thème Darcula légitime, mais inclut également un script ajouté qui collecte des informations système, y compris le nom d’hôte, le nombre d’extensions installées, le nom de domaine de l’appareil et la plate-forme du système d’exploitation, et les envoie à un serveur distant via une requête HTTPS POST.

Code risqué ajouté à l’extension Dracula

Les chercheurs notent que le code malveillant n’est pas signalé par les outils de détection et de réponse des points de terminaison (EDR), car VSCode est traité avec clémence en raison de sa nature de système de développement et de test.

« Malheureusement, les outils traditionnels de sécurité des terminaux (EDR) ne détectent pas cette activité (comme nous avons démontré des exemples de RCE pour certaines organisations au cours du processus de divulgation responsable), VSCode est conçu pour lire de nombreux fichiers et exécuter de nombreuses commandes et créer des processus enfants, ainsi les EDR ne peuvent pas comprendre si l’activité de VSCode est une activité de développeur légitime ou une extension malveillante. »- Amit Assaraf a écrit :
L’extension a rapidement gagné du terrain, étant installée par erreur par plusieurs cibles de grande valeur, y compris une société cotée en bourse avec une capitalisation boursière de 483 milliards de dollars, de grandes sociétés de sécurité et un réseau national de tribunaux judiciaires.

Les chercheurs ont choisi de ne pas divulguer les noms des entreprises touchées.

Étant donné que l’expérience n’avait pas d’intention malveillante, les analystes n’ont collecté que des informations d’identification et ont inclus une divulgation dans l’extension Lisez-moi, la licence et le code.

Localisation des victimes 24 heures après la publication de Dracula sur VSC Marketplace

Statut de la place de marché VSCode
Après l’expérience réussie, les chercheurs ont décidé de se plonger dans le paysage des menaces du marché VSCode, en utilisant un outil personnalisé qu’ils ont développé nommé « ExtensionTotal » pour trouver des extensions à haut risque, les décompresser et examiner les extraits de code suspects.

Grâce à ce processus, ils ont trouvé ce qui suit:

  • 1, 283 avec un code malveillant connu (229 millions d’installations).
  • 8 ,161 communiquer avec des adresses IP codées en dur.
  • 1 ,452 exécutables inconnus en cours d’exécution.
  • 2, 304 qui utilisent le référentiel Github d’un autre éditeur, indiquant qu’il s’agit d’un imitateur.

Vous trouverez ci-dessous un exemple de code trouvé dans une extension malveillante de Visual Studio Code Marketplace qui ouvre un shell inversé sur le serveur du cybercriminel.

Shell inversé trouvé dans une extension d’embellissement de code (embellisseur CWL)

L’absence de contrôles rigoureux et de mécanismes de révision de code de Microsoft sur le marché VSCode permet aux acteurs de la menace d’abuser de la plate-forme de manière généralisée, ce qui s’aggrave à mesure que la plate-forme est de plus en plus utilisée.

« Comme vous pouvez le constater par les chiffres, il existe une pléthore d’extensions qui présentent des risques pour les organisations sur le marché du code Visual Studio », ont averti les chercheurs.

« Les extensions VSCode sont une verticale d’attaque abusive et exposée, avec une visibilité nulle, un impact élevé et un risque élevé. Ce problème constitue une menace directe pour les organisations et mérite l’attention de la communauté de la sécurité. »

Toutes les extensions malveillantes détectées par les chercheurs ont été signalées de manière responsable à Microsoft pour suppression. Cependant, au moment d’écrire ces lignes, la grande majorité reste disponible au téléchargement via le marché VSCode.

Les chercheurs prévoient de publier leur outil « ExtensionTotal » ainsi que des détails sur ses capacités opérationnelles la semaine prochaine, en le publiant en tant qu’outil gratuit pour aider les développeurs à analyser leurs environnements à la recherche de menaces potentielles.

Breachtrace a contacté Microsoft pour lui demander s’il envisageait de revoir la sécurité de Visual Studio Marketplace et d’introduire des mesures supplémentaires qui rendraient le typosquattage et l’usurpation d’identité plus difficiles, mais nous n’avons pas reçu de réponse au moment de la publication.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *