VSCode Marketplace, un repositorio para las extensiones de Visual Studio Code (VSC), tiene defensas de seguridad deficientes, lo que permite a los actores de amenazas abusar de él y distribuir código malicioso entre los millones de sus usuarios, advirtieron los expertos.
Un informe de AquaSec probó la plataforma y concluyó que abusar de ella para distribuir malware (se abre en una pestaña nueva) era ridículamente fácil.
Además, los investigadores afirman que no fueron los primeros en detectar las fallas: algunos actores de amenazas ya estaban activos.
Spoofing detalles importantes
en una entrada de blog (se abre en una pestaña nueva)el equipo de AquaSec describió cómo intentó cargar una versión maliciosa con errores tipográficos de una extensión popular con 27 millones de descargas.
Se dio cuenta de que el malware ni siquiera necesitaba un error tipográfico: la plataforma tiene una característica llamada ‘displayName’ que permite a los autores nombrar sus extensiones como quieran, el nombre no necesita ser único. Entonces, lo nombraron exactamente igual que el legítimo.
Luego, se dieron cuenta de que también podían usar el mismo logotipo y descripción que el proyecto legítimo.
Además, los detalles, aunque se extraen de GitHub, se pueden editar más adelante. Eso significa que los atacantes pueden falsificar fácilmente los detalles del proyecto y presentar el malware como una herramienta legítima con un largo historial de desarrollo. Lo único que no podía falsificarse era el número de descargas y el ranking de búsqueda.
«Sin embargo, con el tiempo, un grupo cada vez mayor de usuarios sin saberlo habrán descargado nuestra extensión falsa. A medida que aumenten estas cifras, la extensión ganará credibilidad», dijo AquaSec. «Además, dado que en la web oscura es posible comprar varios servicios, un atacante extremadamente determinado podría potencialmente manipular estos números comprando servicios que inflarían la cantidad de descargas y estrellas».
AquaSec también observó la insignia de verificación en VSCode Marketplace y concluyó que la función no tiene sentido, ya que cualquier publicación con un dominio comprado obtiene una, independientemente de la relevancia del dominio para el proyecto de software.
Si bien los investigadores solo hicieron una prueba de concepto, también encontraron un código malicioso real al acecho en la tienda. Estos se denominan «Complemento generador de API» y «probador de código».
Visual Studio Code es el editor de código fuente de Microsoft, utilizado por alrededor del 70% de los desarrolladores de software profesionales en todo el mundo, según BleepingEquipo. Las extensiones se pueden usar para instalar programas adicionales, robar código fuente o manipularlo de otras maneras en el IDE de VSCode.
Vía: BleepingComputer (se abre en una pestaña nueva)