Napadači šire lažne proširenja za Visual Studio Code preko Open VSX tržišta
Napadači dodali 73 lažna Visual Studio Code proširenja koja učitavaju GlassWorm malver u razvojne okruženja.
Šta se desilo?
Hakeri nastavljaju kampanju protiv otvorenog tržišta proširenja Open VSX, dodavši 73 nova lažna proširenja koja se predstavljaju kao legitimni alati za razvoj. Ova proširenja sadrže GlassWorm malver - učitavač koji prikuplja GitHub i npm tokene sa računara žrtava, omogućavajući napadačima da uđu u sve njihove skladišta koda i ubace zlonameran kod.
Koga pogađa?
Primarnu metu čine softverski razvijači koji koriste Visual Studio Code i njegovu ekosistemu proširenja. Rizik je posebno veliki za ljude koji instaliraju proširenja iz Open VSX tržišta bez detaljne provere izdavača. Sekundarno, napadači ciljaju softverske lance snabdevanja - ako se malver ugradi u razvoj aplikacije, kasnije može biti distribuiran hiljadam krajnjih korisnika.
Kako se zaštititi?
- Smanjite broj instaliranih proširenja na apsolutni minimum i tretirajte svako kao sigurnosni rizik
- Isključite automatsko ažuriranje proširenja i ručno kontrolišite kada se ažuriranja primenjuju
- Pažljivo pregledajte imena izdavača proširenja da biste izbegли tiposkvoting i prevaru
- Redovno pregledajte koja proširenja su već instalirana - često se nakupljaju tokom vremena bez nadzora
- Uspostavite formalnu proceduru odobrenja za nova proširenja sa sigurnosnom provenom
- Održavajte dozvoljenu listu odobrenih proširenja i tretirajte Open VSX kao izvor visokog rizika
- Koristite alate koji prate ponašanje aplikacija u realnom vremenu, ne samo tokom instalacije
- Ograničite mogućnost programera da preuzimaju proširenja, posebno nova
Tehnički detalji
GlassWorm je učitavač (ne crv kako ime sugeriše) koji u trećoj fazi učitavanja sadrži modul za krađnju kredencijala. Modul ciljno prikuplja GitHub i npm tokene iz više izvora na žrtvinoj mašini. Napadači koriste ukradene kredencijale da nasilno gurnu malver u sva žrtvina skladišta. Lažna proširenja koriste tehniku razdeljenosti logike - neke verzije sadrže benigne kod da izbegnu skenere, dok kritična funkcionalnost leži u povezanim binarnim datotekama ili se preuzima nakon aktivacije. Samo 14 od 73 proširenja je do sada aktivirano za preuzimanje malvera, što sugeriše namerni fažiran raspored napada.
Preporuka Sajber Radara
Iako je Eclipse Foundation već obrisala detektovana lažna proširenja, ova kampanja pokazuje kritičnu prazninu u bezbednosti okruženja za razvoj. Za razliku od softverskih paketa gde postoje mehanizmi zaštite, proširenja IDE-ja nemaju gotovo nikakvu kontrolu integracije. Razvijači i organizacije moraju primeniti istu strogu disciplinu na alate u IDE-u kao što primenjuju na spoljne pakete.
