- Tietoturvatiimit paljastivat 12 haitallista VSCode-laajennusta; neljä niistä on edelleen saatavilla ja riskialttiita.
- Uhat vaihtelevat koodin vuotamisesta ja tunnistetietojen varastamisesta käänteisiin shell-hyökkäyksiin ja jatkuvaan RCE:hen.
- Open VSX näki SleepyDuckiksi kutsutun RAT:n, joka käytti Ethereum-sopimuksia joustavan C2:n luomiseksi.
- Tutkimukset osoittavat, että 5.6 % 52 880 laajennuksesta toimii epäilyttävästi, mikä tarkoittaa yhteensä 613 miljoonaa asennusta.
Kehittäjät kohtaavat yhä enemmän laajennuksista johtuvia riskejä päivittäin käyttämässään editorissa, ja Visual Studio Code (VSCode) on viimeisimpien hälytysten keskipisteessä. Tutkimukset ovat yhdistäneet useita markkinapaikkalistauksia aggressiiviseen tiedonkeruuseen, tunnistetietojen varastamiseen ja jopa salaiseen etäkäyttöön ohjelmistoprojekteissa käytetyissä koneissa.
Tilannetta tekee vieläkin herkemmäksi se, että useita paketteja on edelleen ladattavissa uusimpien raporttien mukaan, mikä tarkoittaa, että ongelma ei ole teoreettinen. Toiminta ulottuu viralliselle markkinapaikalle ja Open VSX:ään, mikä korostaa sitä, miten IDE-laajennusekosysteemit on tullut a arvokas kohde toimitusketjuhyökkäyksille.
Mitä tutkijat löysivät VS Coden ekosysteemeistä
Useat tiimit, mukaan lukien HelixGuard ja muut tietoturvatutkijat, dokumentoivat ainakin tusinan haitallisia lataustiedostoja Microsoft VSCode Marketplaceen ja Open VSX:ään. Ratkaisevaa on, että neljä niistä on tiettävästi edelleen aktiivisia: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123ja sahil92552.CBE-456.
Nämä paketit ulottuvat paljon harmitonta telemetriaa pidemmälle. Analyytikot havaitsivat koneiden tunnisteiden, projektien nimien, täydelliset lähdekooditiedostot, editorin hakuhistoriaa, tekoälykeskusteluja, valittuja koodinpätkiä, leikepöydän sisältöä ja jopa päivittäisen työn aikana otettuja kuvakaappauksia.
Yksi usein mainittu datapiste kehystää laajempaa riskiä: ekosysteemiä koskevassa akateemisessa tarkastelussa arvioitiin, että noin 5.6 %:lla tutkituista 52 880 VSCode-laajennuksesta on epäilyttäviä käyttäytymismalleja — ja nämä mahdollisesti riskialttiit merkinnät yhdessä muodostavat yli 613 miljoonaa asennusta.
Miten ulosvirtaus todellisuudessa tapahtuu
Toimintatavat vaihtelevat paketeittain, mutta tavoite on johdonmukainen: arkaluonteisten tietojen ulos saaminen ilman käyttäjän vihjaamista. Esimerkiksi analyytikot sanovat Christine-devops1234.scraper kanavoida laajan joukon käyttäjä- ja projektitietoja – mukaan lukien koko tiedostosisällön ja IDE:n sisäiset kyselyt – hyökkääjän infrastruktuuriin osoitteessa 35.164.75.62:8080.
Samaan aikaan, Kodease.fyp-23-s2-08 reitittää varastetut koodinpätkät Ngrokin kautta, naamioiden tiedonkeruun tekoälytyylisen kommenttien luonnin ominaisuudeksi. Tutkittu koodi normalisoi sisällön (esim. poistamalla välilyönnit) ja lähettää sen HTTPS POST -pyynnöissä, jotta liikenne sulautuu joukkoon oikeutettu avustava toiminto.
Koodivarkauksien lisäksi mukana on valvontatyyppisiä lisäosia. Lisäosa, joka tunnistettiin nimellä BX-Dev.Blackstone-DLP nähtiin ottavan kuvakaappauksia ja tarkkailevan leikepöytää, yhdistelmä, joka voi hiljaa imeä tunnistetiedot, tunnuksetja arkaluontoisia fragmentteja omasta logiikasta.
Tutkijat merkitsivät myös laajennuksen nimeltä VKTeam.ru joka kohdistuu valikoivasti yritysympäristöihin. Se tarkistaa VK.com-verkkotunnuksen jäsenyyden ja ehtojen täyttyessä kerää Windows-verkkotunnustietoja, kuten käyttäjätunnuksia, isäntänimiä ja järjestelmätietoja – räätälöity ympäristön tiedustelu askel.
Vakoilusta täydelliseen koneen vaarantamiseen
Useat merkinnät tähtäävät paljon tiedonkeruun ulkopuolelle ja siirtyvät komentojen suorittamiseen. teste123444212.teste123444212 ylläpitää kuulemma jatkuvaa yhteyttä hyökkääjän hallitsemiin AWS-resursseihin, mikä käytännössä tarjoaa kanavan etäkomennon suorittaminen kehittäjän isännöintipalvelimella.
Toinen esimerkki, ToToRoManComp.diff-tool-vsc, käyttää Base64-koodattua Perl-käänteistä kuorta, joka tavoittaa 89.104.69.35 satamassa 445, luovuttaen interaktiivisen pääsyn yhteyden muodostamisen jälkeen. Tällainen hyötykuorma antaa vastustajalle kattavan hallinnan itse editorin ulkopuolella.
Haitallinen toiminta liittyy Deriv-AI.deriv-ai eskaloituu entisestään hakemalla ja laukaisemalla "yötassun" troijalaisen, joka mahdollistaa syvemmän tiedustelun ja kestävän etäkäyttö vaarantuneissa järjestelmissä.
Avoin VSX-tapaus: SleepyDuck piiloutuu Solidity-työkalun taakse
Yhteisön ylläpitämässä Open VSX -rekisterissä tutkijat jäljittivät etäkäyttötroijalaista lempinimellä Uninen ankka naamioituu Solidity-laajennukseksi nimeltä juan-bianco.solidity-vlangSe veti puoleensa enemmän kuin 53,000-lataukset ja pysyi näkyvissä alustavaroituksen kera; kriittisesti ottaen se oli aluksi vaaraton lähetyksen yhteydessä, mutta sai haitallisen komponenttinsa myöhemmässä päivityksessä.
SleepyDuckin erinomainen temppu on joustavuus: se hyödyntää Ethereumin älykäs sopimus tallentaakseen ja päivittääkseen komento- ja ohjaustietojaan. Jos sleepyduckxyz-sivuston oletusarvoinen C2 katoaa, haittaohjelma voi pyytää lohkoketjulta uusia ohjeita, mukaan lukien uuden palvelimen osoitteen ja tarkistetut kyselyvälit.
Aktivointipolut on viritetty kehittäjien työnkulkuja varten. Laajennus käynnistyy editorin käynnistyksen yhteydessä, Solidity-tiedostoa avattaessa tai kun Solidityn käännöskomentoa kutsutaan. Se poistaa lukitustiedoston varmistaakseen, että se suoritetaan kerran isäntää kohden, ja kutsuu valetiedostoa. webpack.init() laajennusskriptistään sulautuakseen joukkoon ja lataa sitten haitallisen hyötykuorman.
Käynnistyksen yhteydessä analyytikot havaitsivat haittaohjelman keräävän järjestelmän perustunnisteita (isäntä-/käyttäjätunnukset, MAC-osoitteet ja aikavyöhykkeet) ja valmistelevan hiekkalaatikkoa komentojen suorittamista varten. Se paikantaa nopean Ethereum RPC -päätepisteen, lukee älysopimuksen nykyisen kokoonpanon ja siirtyy kyselysilmukkaan, joka lähettää isäntätiedot ja tarkistaa, onko... suoritettavat tehtävät.
Erillinen Solidityn kehittäjiin kohdistunut tapaus
Aiemmin tänä vuonna tutkijat raportoivat myös erillisestä väärennetystä paketista, joka oli merkitty nimellä "Kestävä kieli" apulainen Open VSX:ssä. Sen väitetään suorittaneen PowerShell-skriptin, pudottaneen etäkäyttötyökalun ja varastaneen kryptolompakoiden salasanatyksi kehittäjä ilmoitti julkisesti tappioista, jotka olivat noin US $ 500,000Listaus keräsi kymmeniätuhansia latauksia ennen poistamistaan ja sen kerrotaan ilmestyneen uudelleen uusilla nimillä pian sen jälkeen.
Älysopimuskehittäjien toistuva kohdentaminen ei ole sattumaa. Näillä käyttäjillä on usein pääsy lompakkoon ja he ovat vuorovaikutuksessa rahoitusinfrastruktuurin kanssa, mikä tekee heistä arvokkaita tavoitteita hyökkääjille, jotka haluavat nopeasti ansaita rahaa.
Suurempi kuva: mittakaava ja kannustimet
Luvut maalaavat vakavan kuvan: tutkimukset viittaavat siihen, että noin 5.6% 52,880: sta tarkistetuissa laajennuksissa on merkkejä käytäntörikkomuksista tai riskialttiista piirteistä – ja tällaisten merkintöjen kokonaisasennusten määrä ylittää 613 euroaVSCoden valtavan jalanjäljen ja nousun myötä Tekoälyavusteiset työkalut, uhkatoimijoita kannustetaan piiloutumaan lisäosien sisään kehittäjät jo luottavat.
Toinen tekijä on käyttöoikeudet. Laajennukset toimivat samoilla ominaisuuksilla kuin editori – tiedostojen lukeminen, prosessien käynnistäminen ja verkkopuheluiden tekeminen – mikä laajentaa hyökkäyksen sädettä. Piilottamalla vuodot ominaisuuksiin, kuten koodiehdotuksiin tai kommenttien luontiin, hyökkääjät tekevät haitallinen liikenne näyttävät normaalilta kehitystoiminnalta.
Mitä joukkueiden tulisi tehdä juuri nyt
Tietoturvajohtajat ja yksittäiset kehittäjät voivat vähentää altistumista muutamalla kurinalaisella toimenpiteellä, priorisoimalla näkyvyyttä ja vahvoja oletusasetuksia, jotka hillitsevät riskialttiita asennuksia pitäen samalla tuottavuuden ennallaan. Käytännöllinen yhdistelmä hallinto ja seuranta tekee suurimman eron.
- Tarkista asennetut laajennukset aikataulun mukaisesti; poista kaikki tuntemattomat, äskettäin luodut tai huonomaineiset laajennukset. Harkitse sallittujen luettelo hyväksyttyjä laajennuksia varten.
- Valvo kehittäjien päätepisteistä lähtevää liikennettä epätavallisten kohteiden varalta (esim. tunnetut C2-IP-osoitteet, odottamattomat tunnelit, kuten Ngrok).
- Arvostelulaajennuksen lähde, jos mahdollista, erityisesti ne, jotka koskevat salaisuuksia tai arkaluontoiset koodipolut; pin-versiot, jos sinun on käytettävä niitä.
- Ole varovainen automaattisten päivitysten kanssa; seuraa muutoslokeja ja julkaisijan muutoksia välttääksesi yllätyksiä toimitusketjun kääntöpisteet.
- Vahvista päätepisteitä EDR/AV-suojauksella, paikallisilla palomuureilla ja pienimpien käyttöoikeuksien hallinnalla; eristä rakennussalaisuudet ja käytä niitä token-laajuiset tunnistetiedot.
- Kouluta kehittäjiä laajennusriskeistä, julkaisijan varmentamisesta ja epäilyttävien ongelmien nopeasta raportoinnista/eskaloinnista editorin toiminta.
Markkinapaikan vastaukset ja jatkuvat parannukset
Avoin VSX, joka on yhä suositumpi tekoälypohjaisissa IDE-ympäristöissä, kuten Cursor ja Windsurf, on ilmoittanut tietoturvapäivityksistä: lyhyemmät tokenien elinkaaret, nopeampi peruutus vuotaneet tunnistetiedot, automatisoidumpaa skannausta ja parannettua tiedonjakoa VS Code -tiimin kanssa uusista uhkista.
Näistäkin toimista huolimatta ekosysteemin turvallisuus on liikkuva kohde. Hyökkääjät iteroivat nopeasti; he brändäävät paketteja uudelleen, ajavat haitallisia päivityksiä aiemmin vaarattomiin projekteihin ja naamioivat liikennettä varjolla kehittäjän mukavuudetYhteisön valppaus ja nopeat sulkemiset ovat edelleen olennaisia.
Molemmilla markkinapaikoilla viimeaikaiset tapaukset osoittavat, kuinka tietovuotojen torjunta voidaan saada näyttämään laillisilta ominaisuuksilta ja kuinka takaportit voivat säilyä ovelasti hyödyntämällä lohkoketjupohjainen C2, käänteiset kuoret ja pilvivälitykset. Käsittele jokaista laajennusta toimitusketjusi koodina ja validoi se samalla tarkkuudella kuin riippuvuudet.
Nämä löydökset viittaavat yksinkertaiseen mutta ehdottomaan lähestymistapaan: käsittele editoria osana tietoturvarajaasi. Koska useita haitallisia VSCode-laajennuksia on edelleen saatavilla, Ethereumin tukemasta C2:sta on raportteja ja on näyttöä siitä, että mitattava osa ekosysteemistä voi olla riskialtis, tiimit, jotka toteuttavat auditointeja, sallittujen listoja, verkon valvontaa ja kehittäjien koulutusta, ovat parhaassa asemassa pitämään yllä… lähdekoodi ja tunnistetiedot hyökkääjän käsistä.
