Pesquisadores israelenses exploraram a segurança Visual Studio Code Marketplace e conseguiram “infectar” mais de 100 organizações trojanizando uma cópia do popular tema ‘Dracula Official’ para incluir código malicioso. Outras pesquisas no VSCode Marketplace encontraram milhares de extensões com milhões de instalações.
O Visual Studio Code (VSCode) e as extensões maliciosas
Visual Studio Code (VSCode) é um editor de código-fonte publicado pela Microsoft e usado por muitos desenvolvedores de software profissionais em todo o mundo. A Microsoft também opera um mercado de extensões para o IDE, chamado Visual Studio Code Marketplace, que oferece complementos que ampliam a funcionalidade do aplicativo e fornecem mais opções de personalização.
Relatórios anteriores destacaram lacunas na segurança do VSCode, permitindo a representação de extensões e editores e extensões que roubam tokens de autenticação do desenvolvedor. Além disso, também houve descobertas que foram confirmadas como maliciosas.
Experimento dos pesquisadores
Para seu experimento recente, os pesquisadores Amit Assaraf, Itay Kruk e Idan Dardikman criaram uma extensão que digita o tema Drácula Oficial, um esquema de cores popular para vários aplicativos que tem mais de 7 milhões de instalações no VSCode Marketplace. Darcula é usado por um grande número de desenvolvedores devido ao seu modo escuro visualmente atraente com uma paleta de cores de alto contraste, que é agradável aos olhos e ajuda a reduzir o cansaço visual durante longas sessões de codificação.
A extensão falsa usada na pesquisa foi chamada de “Darcula”, e os pesquisadores até registraram um domínio correspondente em “darculatheme.com”. Este domínio foi usado para se tornar um editor verificado no VSCode Marketplace, adicionando credibilidade à extensão falsa.
Sua extensão usa o código real do tema Darcula legítimo, mas também inclui um script adicional que coleta informações do sistema, incluindo o nome do host, o número de extensões instaladas, o nome de domínio do dispositivo e a plataforma do sistema operacional, e as envia para um servidor remoto por meio de um Solicitação HTTPS POST.
Os pesquisadores observam que o código malicioso não é sinalizado pelas ferramentas de detecção e resposta de endpoint (EDR), já que o VSCode é tratado com leniência devido à sua natureza como um sistema de desenvolvimento e teste.
A extensão rapidamente ganhou força, sendo instalada erroneamente por vários alvos de alto valor, incluindo uma empresa listada em bolsa com um valor de mercado de US$ 483 bilhões (cerca de R$ 2,6 tri), grandes empresas de segurança e uma rede de tribunais de justiça nacionais.
Os pesquisadores optaram por não divulgar os nomes das empresas impactadas. Como o experimento não teve intenção maliciosa, os analistas apenas coletaram informações de identificação e incluíram uma divulgação no Leia-me da extensão, na licença e no código.
A falta de controles rigorosos e mecanismos de revisão de código da Microsoft no VSCode Marketplace permite que os agentes de ameaças pratiquem abuso desenfreado da plataforma, piorando à medida que a plataforma é cada vez mais usada.