VS Code(Visual Studio Code 的簡稱)是微軟是TypeScript語言開發的一款流行的開源免費代碼編輯器。VS code是一個高效且可定制可擴充的代碼編輯編環境,可以支援最廣泛的程式設計語言、架構和工具。VS Code目前大受歡迎,是開發者最喜愛的代碼編輯器之一。VS Code廣受歡迎最主要原因之一是VS Code擴充市場(Extensions Marketplace),開發人員通過可以在擴充市場中搜尋和安裝新的擴充以增強他們的編碼體驗。
VS Code擴充市場包括微軟官方、各個語言和應用架構官方和第三方個人擴充插件。
作為軟體開發供應鍊環節的重要一環,VS Code及其生态的安全性至關重要,那麼VSCode插件安全情況如何了,最近有安全團隊對其做了安全審計,仍然發現有惡意插件滋生,并且有一個甚至下載下傳安裝超過4萬5。
概述
截止今天,VS Code擴充市場存在約5萬個擴充。VS Code擴充是可以安裝以更新編輯器功能的附加元件;可用于添加新功能、支援新程式設計語言、與外部工具和服務內建等。惡意擴充程式可能會通過安裝惡意軟體、竊取使用者資料或執行其他有害操作來給使用者帶來安全風險。
為了防止惡意擴充的傳播, VS Code擴充市場采取了多項安全措施和政策。例如通過自動擴充掃描工具來檢測和從市場中删除惡意擴充;通過使用者評論和評級來識别和報告惡意擴充。
威脅行為者一直在尋找感染使用者的新方法,而開源代碼元件可能是常見的感染源——尤其是更常見的感染源。
最近有安全團隊,對VSCode擴充市場進行了安全審計,仍然發現了一些惡意擴充,其中一些惡意擴充,冒充為AI插件并有了總計45000次的安裝。他們還發現了具有可疑代碼模式但沒有明顯惡意迹象的擴充。
惡意擴充程式
Prettiest java
安全分析中發現的最大的一個擴充被命名為“Prettiest java”。根據其簡介,這應該是一個“java AI助手”,他通過名稱搶注試圖通過模仿流行的Prettier-Java代碼格式化程式項目來欺騙使用者。檢視其代碼,可以發現一個經典的PII竊取代碼, 在PyPI發行版中這很常見。其典型行為為搜尋本地密鑰并使用Discord webhook将它們發送給攻擊者。
Theme Darcula dark
另一個擴充是 “Theme Darcula dark”,根據其簡介“嘗試提高VS Code上的 Dracula顔色一緻性,使其在編碼會話期間更加悅目。這個擴充很有意思:
它非常受歡迎,安裝量超過45000次。
其中包含的惡意代碼。
雖然擴充應該是一個簡單的主題配置(不應包含代碼)。其代碼行為了存在一個簡單的PII竊取木馬(這在NPM惡意包中很常見),可以将有關安裝程式設定的大量中繼資料發送到遠端機器。對一個代碼編輯器主題擴充内容,顯然這是不合理的行為。
Python-vscode
還有一個名為“python-vscode”的惡意擴充。雖然該擴充沒有簡介,但是它安裝量明顯也很好,可見很多人被他欺騙并下載下傳安裝了。
通過這樣一個擴充名稱,如果有Python用在VSCode中搜尋Python語言編擴充,顯然很容易中招。通過審閱這個擴充代碼,其行為了中存在一個注入安裝程式木馬的混淆語句。有趣的是,這段代碼是一個常見的C# shell注入器代碼模式。
我們對這段base64編碼的代碼解碼:
可疑擴充
安全分析中也發現了多個擴充使用可疑代碼模式但同時又不是明顯惡意的例子。其中最值得注意的例子有些使用私有系統資料庫下載下傳依賴的包,而非NPM,這可能是一種悄悄潛入惡意包的方式,還有一些使用IP位址下載下傳資源。
理論上兩者都可以被濫用來感染安裝程式,但目前似乎沒有明确的證據表明确實如此。
總結
目前安全審計發現的所有有問題的報告已經送出給了微軟,并且這些惡意擴充已經在VSCode擴充市場中被删除了。如果有下載下傳使用過上面提到的擴充同學,請趕緊清除以上擴充,并且詳細檢查分析自己的機器,以防止被人攻擊利用過。
另外,值得注意的是,所發現的這些惡意擴充并不是新加入的擴充,有些已經在市場中存在一年多了。
供應鍊案例屢見不鮮,并且其攻擊也變得越來越頻繁。為了確定整個系統的安全,要求開發人員并仔細檢查使用的每個工具、依賴、小插件、皮膚和字型、都很有必要。