Shock su Visual Studio Code! Un Tema Popolare creato per Infettare Oltre 100 Aziende!

Ricercatori israeliani hanno studiato la sicurezza di Visual Studio Code e, nell’ambito di un esperimento, sono riusciti a “infettare” più di 100 organizzazioni creando un clone del popolare tema Dracula Official con un codice dannoso. Ulteriori analisi del mercato VSCode hanno rivelato migliaia di estensioni pericolose con milioni di installazioni.

Visual Studio Code (VSCode) è un editor di codice sorgente prodotto da Microsoft e utilizzato dagli sviluppatori di tutto il mondo. Microsoft gestisce anche il Visual Studio Code Marketplace, che offre estensioni che aumentano la funzionalità dell’applicazione e forniscono più opzioni di personalizzazione.

In un esperimento, i ricercatori sulla sicurezza Amit Assaraf, Itay Kruk e Idan Dardikman hanno creato un’estensione che imitava Dracula Official, un tema popolare con oltre 7 milioni di installazioni nel VSCode Marketplace.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’estensione falsa utilizzava il typequatting e si chiamava “Darcula” registrata sul dominio corrispondente su darculatheme.com. Questo dominio ha permesso loro di diventare un editore verificato sul mercato VSCode.

L’estensione utilizzava il codice legittimo del tema Darcula, ma conteneva anche uno script aggiuntivo che raccoglieva informazioni di sistema, inclusi nome host, numero di estensioni installate, nome di dominio del dispositivo e informazioni sul sistema operativo, quindi trasmetteva tutto questo a un server remoto tramite una richiesta POST HTTPS. .

Poiché l’esperimento non era destinato a essere dannoso, gli analisti hanno raccolto solo informazioni identificative e hanno incluso un avviso nel file Leggimi, nella licenza e nel codice dell’estensione.

I ricercatori notano che il codice dannoso non viene rilevato dalle soluzioni EDR perché VSCode viene spesso trattato con indulgenza.

“Sfortunatamente, i tradizionali strumenti di sicurezza degli endpoint (EDR) non rilevano questa attività. VSCode è progettato per leggere un gran numero di file, eseguire molti comandi e creare processi figli, quindi gli EDR non possono determinare se questa attività VSCode è un’attività legittima dello sviluppatore o un segno di un’estensione dannosa”, scrive Amit Assaraf.

Di conseguenza, la falsa estensione ha rapidamente preso piede ed è stata erroneamente installata da numerose grandi organizzazioni, tra cui una società anonima con un valore di mercato di 483 miliardi di dollari, una serie di grandi società di sicurezza e una rete giudiziaria nazionale. I ricercatori non hanno rivelato i nomi delle organizzazioni colpite.

Dopo l’esperimento, gli esperti hanno deciso di studiare altre minacce nel mercato VSCode utilizzando lo strumento ExtensionTotal da loro sviluppato, progettato per cercare estensioni potenzialmente pericolose. Di conseguenza, hanno scoperto:

• 1283 estensioni con codice dannoso noto (totale di 229 milioni di installazioni);
• Estensioni 8161 che si legano a indirizzi IP hardcoded;
• 1452 file eseguibili sconosciuti lanciati;
• 2.304 estensioni che utilizzano repository GitHub di altri editori, indicando che si tratta solo di imitazioni.

Gli esperti avvertono che a causa della mancanza di controlli rigorosi e di revisione del codice nel Marketplace VSCode, gli aggressori possono facilmente abusare della piattaforma, una situazione che sta peggiorando man mano che la sua popolarità cresce.

“I numeri suggeriscono che nello store di Visual Studio Code è presente un numero enorme di estensioni che rappresentano una minaccia per le organizzazioni”, avvertono i ricercatori. — Le estensioni VSCode sono un vettore di attacco a visibilità zero di cui si abusa e che possono avere gravi conseguenze e comportare seri rischi. Questo problema rappresenta una minaccia diretta per le organizzazioni e merita l’attenzione della comunità della sicurezza informatica”.

Le informazioni su tutte le estensioni dannose scoperte dai ricercatori sono state trasmesse agli specialisti Microsoft. Tuttavia, per ora, la stragrande maggioranza di essi è ancora disponibile nel Marketplace VSCode.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.