Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Shock su Visual Studio Code! Un Tema Popolare creato per Infettare Oltre 100 Aziende!

Redazione RHC : 10 Giugno 2024 16:33

Ricercatori israeliani hanno studiato la sicurezza di Visual Studio Code e, nell’ambito di un esperimento, sono riusciti a “infettare” più di 100 organizzazioni creando un clone del popolare tema Dracula Official con un codice dannoso. Ulteriori analisi del mercato VSCode hanno rivelato migliaia di estensioni pericolose con milioni di installazioni.

Visual Studio Code (VSCode) è un editor di codice sorgente prodotto da Microsoft e utilizzato dagli sviluppatori di tutto il mondo. Microsoft gestisce anche il Visual Studio Code Marketplace, che offre estensioni che aumentano la funzionalità dell’applicazione e forniscono più opzioni di personalizzazione.

In un esperimento, i ricercatori sulla sicurezza Amit Assaraf, Itay Kruk e Idan Dardikman hanno creato un’estensione che imitava Dracula Official, un tema popolare con oltre 7 milioni di installazioni nel VSCode Marketplace.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’estensione falsa utilizzava il typequatting e si chiamava “Darcula” registrata sul dominio corrispondente su darculatheme.com. Questo dominio ha permesso loro di diventare un editore verificato sul mercato VSCode.

L’estensione utilizzava il codice legittimo del tema Darcula, ma conteneva anche uno script aggiuntivo che raccoglieva informazioni di sistema, inclusi nome host, numero di estensioni installate, nome di dominio del dispositivo e informazioni sul sistema operativo, quindi trasmetteva tutto questo a un server remoto tramite una richiesta POST HTTPS. .

Poiché l’esperimento non era destinato a essere dannoso, gli analisti hanno raccolto solo informazioni identificative e hanno incluso un avviso nel file Leggimi, nella licenza e nel codice dell’estensione.

I ricercatori notano che il codice dannoso non viene rilevato dalle soluzioni EDR perché VSCode viene spesso trattato con indulgenza.

“Sfortunatamente, i tradizionali strumenti di sicurezza degli endpoint (EDR) non rilevano questa attività. VSCode è progettato per leggere un gran numero di file, eseguire molti comandi e creare processi figli, quindi gli EDR non possono determinare se questa attività VSCode è un’attività legittima dello sviluppatore o un segno di un’estensione dannosa”, scrive Amit Assaraf.

Di conseguenza, la falsa estensione ha rapidamente preso piede ed è stata erroneamente installata da numerose grandi organizzazioni, tra cui una società anonima con un valore di mercato di 483 miliardi di dollari, una serie di grandi società di sicurezza e una rete giudiziaria nazionale. I ricercatori non hanno rivelato i nomi delle organizzazioni colpite.

Vittime di Darcula sulla mappa

Dopo l’esperimento, gli esperti hanno deciso di studiare altre minacce nel mercato VSCode utilizzando lo strumento ExtensionTotal da loro sviluppato, progettato per cercare estensioni potenzialmente pericolose. Di conseguenza, hanno scoperto:

  • 1283 estensioni con codice dannoso noto (totale di 229 milioni di installazioni);
  • Estensioni 8161 che si legano a indirizzi IP hardcoded;
  • 1452 file eseguibili sconosciuti lanciati;
  • 2.304 estensioni che utilizzano repository GitHub di altri editori, indicando che si tratta solo di imitazioni.

Gli esperti avvertono che a causa della mancanza di controlli rigorosi e di revisione del codice nel Marketplace VSCode, gli aggressori possono facilmente abusare della piattaforma, una situazione che sta peggiorando man mano che la sua popolarità cresce.

“I numeri suggeriscono che nello store di Visual Studio Code è presente un numero enorme di estensioni che rappresentano una minaccia per le organizzazioni”, avvertono i ricercatori. — Le estensioni VSCode sono un vettore di attacco a visibilità zero di cui si abusa e che possono avere gravi conseguenze e comportare seri rischi. Questo problema rappresenta una minaccia diretta per le organizzazioni e merita l’attenzione della comunità della sicurezza informatica”.

Le informazioni su tutte le estensioni dannose scoperte dai ricercatori sono state trasmesse agli specialisti Microsoft. Tuttavia, per ora, la stragrande maggioranza di essi è ancora disponibile nel Marketplace VSCode.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

GhostSec: Azienda Italiana Commissiona Attacco Informatico Al Governo Macedone

GhostSec, noto collettivo di hacktivisti, ha recentemente rivelato dettagli su un’operazione controversa che coinvolge un’azienda italiana e obiettivi governativi macedoni. In un’...

Un Database AT&T da 3GB viene Venduto nel Dark Web: 73 Milioni di Record a Rischio

Negli ultimi giorni, su due noti forum underground specializzati nella compravendita di dati trafugati e metodi fraudolenti, sono comparsi dei post separati (ma identici nel contenuto), riguardanti un...

Non fidarti del codice prodotto dalle AI! Un bug Giurassico del 2010 infetta anche GPT-4

E se le intelligenze artificiali producessero del codice vulnerabile oppure utilizzassero librerie e costrutti contenenti bug vecchi mai sanati? Si tratta di allucinazione o apprendimento errato? Una ...

Ancora attacchi alle infrastrutture Italiane. NoName057(16) sferra nuovi attacchi DDoS

Anche questa mattina, gli hacker di NoName057(16) procedono a sferrare attacchi DDoS contro diversi obiettivi italiani. Nell’ultimo periodo, Telegram ha intensificato la sua azione co...

Pornhub, Redtube e YouPorn si ritirano dalla Francia per colpa della legge sulla verifica dell’età

Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...