Aqua Security stelt dat aanvallers ontwikkelaars kunnen misleiden door malware te vermommen als populaire Visual Studio code-extensies.
“We hebben een nieuwe aanvalsmethode ontdekt”, aldus Aqua Security. Het bedrijf deelde het onderzoek in een blog. De onderzoekers beschrijven hoe makkelijk het is om kwaadaardige extensies te uploaden op de VSCode Marketplace.
Visual Studio Code (VSC) is een populaire code editor van Microsoft. Een recente survey van StackOverflow wijst uit dat de editor door meer dan 70 procent van alle professionele ontwikkelaars wordt gebruikt.
Imitatie
VSCode-extensies draaien met dezelfde systeemrechten als de gebruiker van VSCode. “Dit betekent dat extensies elk programma op een computer kunnen installeren, inclusief ransomware, wipers en meer”, aldus de onderzoekers.
Het team stelt dat het lastig kan zijn om tussen kwaadaardige en goedaardige extensies te onderscheiden op de VSCode Marketplace. Iedereen kan een account aanmaken, zelfs met een tijdelijke email. Als gevolg kan iedereen een extensie publiceren die op de marktplaats wordt opgenomen.
Het gevaar ontstaat wanneer een gebruiker een kwaadaardige extensie uploadt die lijkt op een legitieme populaire extensie. Aanvallers kunnen nietsvermoedende ontwikkelaars overtuigen om malware te downloaden.
Proof of concept
Om hun punt te bewijzen maakten de onderzoekers een nepaccount aan. Het team uploadde een extensie met een vergelijkbare naam en beschrijving als Prettier, een van de tien populairste extensies op de marktplaats.
“In iets minder dan 48 uur kregen we meer dan duizend installaties van actieve ontwikkelaars wereldwijd”, beweren de onderzoekers.
De nepextensie was niet kwaadaardig. Toch wijzen de onderzoekers op de risico’s van de test. “Dit heeft in het verleden weinig aandacht gekregen. Misschien omdat we nog geen campagnes hebben gezien die een enorme impact achterlieten.”
Tip: Cybercriminelen verspreiden malware met tientallen PyPi packages
16 uur geleden
