Ein neuer Angriffsvektor, der auf den Marktplatz für Visual Studio Code-Erweiterungen abzielt, könnte genutzt werden, um gefälschte Erweiterungen hochzuladen, die sich als ihre legitimen Gegenstücke ausgeben, mit dem Ziel, Angriffe auf die Lieferkette durchzuführen.
Die Technik „könnte als Einstiegspunkt für einen Angriff auf viele Organisationen dienen“, so Aqua-Sicherheitsforscher Ilay Goldman in einem letzte Woche veröffentlichten Bericht.
VS Code-Erweiterungen, die über einen von Microsoft zur Verfügung gestellten Marktplatz kuratiert werden, ermöglichen es Entwicklern, Programmiersprachen, Debugger und Werkzeuge zum VS Code-Quellcode-Editor hinzuzufügen, um ihre Arbeitsabläufe zu verbessern.
„Alle Erweiterungen laufen mit den Rechten des Benutzers, der VSCode geöffnet hat, ohne Sandbox“, erklärt Goldman die potenziellen Risiken bei der Verwendung von VS-Code-Erweiterungen. „Das bedeutet, dass die Erweiterung jedes beliebige Programm auf deinem Computer installieren kann, einschließlich Ransomware, Wipers und mehr.“
Aqua hat herausgefunden, dass es einem Angreifer nicht nur möglich ist, sich mit kleinen Änderungen der URL als eine beliebte Erweiterung auszugeben, sondern dass der Angreifer auf dem Marktplatz auch denselben Namen und dieselben Angaben zum Herausgeber der Erweiterung verwenden kann, einschließlich der Informationen zum Projekt-Repository.
Die Methode erlaubt es zwar nicht, die Anzahl der Installationen und die Anzahl der Sterne zu replizieren, aber die Tatsache, dass es keine Beschränkungen für die anderen identifizierenden Merkmale gibt, bedeutet, dass sie genutzt werden könnte, um Entwickler zu täuschen.
Die Untersuchung hat auch ergeben, dass das Verifizierungsabzeichen, das den Autoren zugewiesen wird, auf triviale Weise umgangen werden kann, da das Häkchen nur beweist, dass der Herausgeber der Erweiterung der tatsächliche Besitzer einer Domain ist.
Mit anderen Worten: Ein böswilliger Akteur könnte eine beliebige Domain kaufen, sie registrieren, um ein Prüfzeichen zu erhalten, und schließlich eine trojanisierte Erweiterung mit demselben Namen wie eine legitime auf den Marktplatz hochladen.
Eine Proof-of-Concept-Erweiterung (PoC), die sich als das Codeformatierungsprogramm Prettier ausgab, wurde laut Aqua innerhalb von 48 Stunden über 1.000 Mal von Entwicklern in aller Welt installiert. Sie wurde inzwischen entfernt.
Es ist nicht das erste Mal, dass die Bedrohung der Software-Lieferkette auf dem Markt für VS-Code-Erweiterungen Anlass zur Sorge gibt.
Im Mai 2021 deckte die Sicherheitsfirma Snyk eine Reihe von Sicherheitslücken in beliebten VS Code-Erweiterungen auf, die millionenfach heruntergeladen wurden und von Angreifern zur Kompromittierung von Entwicklerumgebungen missbraucht werden könnten.
„Angreifer arbeiten ständig daran, ihr Arsenal an Techniken zu erweitern, die es ihnen ermöglichen, bösartigen Code innerhalb des Netzwerks von Organisationen auszuführen“, so Goldman.