Un gruppo di ricercatori israeliani ha recentemente scoperto estensioni malevole nel Microsoft Visual Studio Code (VSCode) Marketplace, con milioni di installazioni. Queste estensioni contenevano codice pericoloso, esponendo numerose organizzazioni a potenziali attacchi.
Visual Studio Code è un editor di codice sorgente sviluppato da Microsoft, ampiamente utilizzato dai programmatori professionisti. Il marketplace delle estensioni di VSCode offre una vasta gamma di add-on per estendere le funzionalità dell’applicazione e personalizzarla ulteriormente. Tuttavia, questo mercato ha mostrato significative lacune di sicurezza, permettendo la pubblicazione di estensioni e publisher falsi, nonché il furto di token di autenticazione degli sviluppatori.
Typosquatting e Estensioni Malevole
I ricercatori Amit Assaraf, Itay Kruk e Idan Dardikman hanno condotto un esperimento creando un’estensione che imitava il popolare tema ‘Dracula Official‘, chiamandola ‘Darcula’. Questa estensione conteneva codice aggiuntivo che raccoglieva informazioni sul sistema dell’utente, come nome host, numero di estensioni installate, nome del dominio del dispositivo e piattaforma del sistema operativo, inviandole a un server remoto tramite una richiesta HTTPS POST.
Questa estensione fittizia è stata rapidamente installata da numerosi obiettivi di alto valore, tra cui una società quotata in borsa con una capitalizzazione di mercato di 483 miliardi di dollari, importanti aziende di sicurezza e una rete nazionale di giustizia. Fortunatamente, l’esperimento non aveva intenti malevoli e i ricercatori hanno raccolto solo informazioni identificative, includendo una divulgazione nel file Read Me dell’estensione.
Analisi del Mercato delle Estensioni di VSCode
Dopo il successo dell’esperimento, i ricercatori hanno approfondito l’analisi del marketplace delle estensioni di VSCode, utilizzando uno strumento personalizzato chiamato ‘ExtensionTotal’. Questo strumento ha permesso di individuare e analizzare estensioni sospette, rivelando:
- 1.283 estensioni con codice malevolo conosciuto (229 milioni di installazioni)
- 8.161 estensioni comunicanti con indirizzi IP hardcoded
- 1.452 estensioni che eseguono eseguibili sconosciuti
- 2.304 estensioni che utilizzano il repository GitHub di un altro publisher, indicando un possibile copia-incolla
Questi numeri evidenziano un serio problema di sicurezza, con molte estensioni che rappresentano un rischio significativo per le organizzazioni. Microsoft è stata informata di tutte le estensioni malevole individuate, ma la maggior parte di queste è ancora disponibile per il download.
I ricercatori hanno intenzione di rilasciare lo strumento ‘ExtensionTotal’ la prossima settimana, offrendo una risorsa gratuita per aiutare gli sviluppatori a eseguire scansioni dei loro ambienti per potenziali minacce.
Questa scoperta mette in evidenza la necessità di maggiori controlli di sicurezza e di meccanismi di revisione del codice nel VSCode Marketplace. Le estensioni malevole rappresentano un vettore di attacco esposto e abusato, con un impatto elevato e un rischio significativo per le organizzazioni. La comunità della sicurezza deve prestare maggiore attenzione a questo problema per proteggere gli sviluppatori e le loro organizzazioni da potenziali minacce.
