Тревога в сообществе разработчиков VSCode! Вредоносные расширения нарушают безопасность платформы

Исследователи компании Check Point 4 мая этого года обнаружили три вредоносных расширения, загруженные в Microsoft VSCode Marketplace. Программное обеспечение, внедрённое в расширения, позволило злоумышленникам похитить учётные данные, системную информацию, а также установить удалённую оболочку на компьютере жертв. Спустя 10 дней после обнаружения вредоносные расширения были удалены, однако суммарно их успели загрузить 46 600 раз.

Разработчики программного обеспечения, которые всё ещё используют данные расширения, должны вручную удалить их из своих систем и выполнить полное сканирование для обнаружения любых остатков заражения.

Microsoft VSCode — редактор исходного кода, разработанный корпорацией Microsoft и используемый значительным процентом профессиональных разработчиков программного обеспечения по всему миру.

Microsoft также управляет связанным каталогом расширений для своего редактора — VSCode Marketplace, который предлагает более 50 000 расширений, расширяющих функциональность программы и предоставляющих больше возможностей её настройки.

Исследователями Check Point были обнаружены следующие вредоносные расширения:

• «Theme Darcula dark», 45 000 скачиваний. Описывается как «попытка улучшить согласованность Dracula colors в VS Code». Это расширение использовалось для кражи основной информации о системе разработчика, включая имя хоста, операционную систему, платформу процессора, общий объем памяти и информацию о процессоре.
• «python-vscode», 1384 скачивания. Анализ кода расширения показал, что это инжектор оболочки C#, который может выполнять произвольный код или команды на компьютере жертвы.
• «prettiest java», 278 скачиваний. Судя по названию и описанию расширения, оно было создано для имитации популярного инструмента форматирования кода «prettier-java». Расширение крадёт сохранённые учётные данные или токены аутентификации из Discord, Discord Canary, Google Chrome, Opera, Brave и Yandex Browser.

Специалисты Check Point также обнаружили множество других подозрительных расширений, которые нельзя было с уверенностью охарактеризовать как вредоносные. Однако они всё же демонстрировали небезопасное поведение, такое как извлечение кода из частных репозиториев или загрузка файлов.

Подобные регулярные случаи доказывают, что использование репозиториев программного обеспечения для разработчиков и разнообразных каталогов расширений, поддерживаемых сообществом, сопряжено со множеством рисков. Например, ранее мы неоднократно писали о компрометации хранилищ пакетов PyPI и NPM .

Что же касательно VSCode Marketplace, ещё в январе компания AquaSec продемонстрировала , что туда довольно легко можно загрузить вредоносные расширения, на что не среагирует встроенная система защиты. Как мы можем наблюдать, с того момента, видимо, мало что изменилось.

Пользователям VSCode Marketplace и прочих публичных репозиториев для разработчиков рекомендуется устанавливать расширения только от надежных издателей, с большим количеством загрузок и рейтингами сообщества, читать отзывы пользователей и всегда проверять исходный код расширения перед его установкой.