Los piratas informáticos están utilizando extensiones maliciosas de Microsoft VSCode para robar contraseñas

John — Thu, 18 May 2023 18:44:28 +0000

Los investigadores de ciberseguridad de Check Point han descubierto múltiples extensiones maliciosas de Visual Studio en el VSCode Marketplace de Microsoft.

Estas extensiones, llamadas «Theme Darcula dark», python-vscode» y «prettiest java» pretendían ser útiles para los desarrolladores de Visual Studio Code, pero, de hecho, estaban haciendo todo tipo de cosas desagradables. El tema Darcula dark estaba robando información básica del sistema, python-vscode permitía la ejecución remota de código en el punto final infectado, mientras que el java más bonito robaba (haciéndose pasar por (se abre en una pestaña nueva) el complemento «pretty java») guardó credenciales o tokens de autenticación de Discord y Discord Canary, Google Chrome, Opera, Brave Browser y Yandex Browser. El malware luego lo filtraría usando un webhook de Discord.

Combinados, los tres programas maliciosos se descargaron 46 600 veces, aunque, entre los tres, Theme Darcula dark dominó absolutamente con más de 45 000 descargas.

Ataques a la cadena de suministro

Los investigadores avisaron a Microsoft el 4 de mayo de este año y la empresa los eliminó diez días después, el 14 de mayo. Es importante mencionar que, si bien la eliminación del malware del repositorio protege a los desarrolladores de futuras descargas, aquellos que descargaron el malware en el pasado seguirá siendo vulnerable hasta que eliminen las herramientas de sus sistemas y ejecuten un análisis antivirus para eliminar cualquier remanente.

Visual Studio Code (VSC) es el editor de código fuente de Microsoft, utilizado por un «porcentaje significativo» de desarrolladores de software profesionales en todo el mundo. VSCode Marketplace es un mercado de extensiones administrado por el gigante del software de Redmond, que supuestamente alberga más de 50 000 complementos que mejoran la funcionalidad de VSC de varias maneras.

Si bien estos tres fueron concluyentemente maliciosos, los investigadores de Check Point encontraron complementos más dudosos que demostraron un comportamiento inseguro, pero que no podían clasificarse como maliciosos. Parte de ese comportamiento incluía tomar código de repositorios privados o descargar archivos.

Los ataques a la cadena de suministro son muy populares entre los actores de amenazas en estos días, y los repositorios de código abierto son un objetivo atractivo. Otros repositorios, como PyPI, por ejemplo, son bombardeados con paquetes maliciosos a diario.

Vía: BleepingComputer (se abre en una pestaña nueva)

Source link-36

El VSCode Marketplace es bastante fácil de hackear con extensiones maliciosas

John — Mon, 09 Jan 2023 23:18:46 +0000

VSCode Marketplace, un repositorio para las extensiones de Visual Studio Code (VSC), tiene defensas de seguridad deficientes, lo que permite a los actores de amenazas abusar de él y distribuir código malicioso entre los millones de sus usuarios, advirtieron los expertos.

Un informe de AquaSec probó la plataforma y concluyó que abusar de ella para distribuir malware (se abre en una pestaña nueva) era ridículamente fácil.

Además, los investigadores afirman que no fueron los primeros en detectar las fallas: algunos actores de amenazas ya estaban activos.

Spoofing detalles importantes

en una entrada de blog (se abre en una pestaña nueva)el equipo de AquaSec describió cómo intentó cargar una versión maliciosa con errores tipográficos de una extensión popular con 27 millones de descargas.

Se dio cuenta de que el malware ni siquiera necesitaba un error tipográfico: la plataforma tiene una característica llamada ‘displayName’ que permite a los autores nombrar sus extensiones como quieran, el nombre no necesita ser único. Entonces, lo nombraron exactamente igual que el legítimo.

Luego, se dieron cuenta de que también podían usar el mismo logotipo y descripción que el proyecto legítimo.

Además, los detalles, aunque se extraen de GitHub, se pueden editar más adelante. Eso significa que los atacantes pueden falsificar fácilmente los detalles del proyecto y presentar el malware como una herramienta legítima con un largo historial de desarrollo. Lo único que no podía falsificarse era el número de descargas y el ranking de búsqueda.

«Sin embargo, con el tiempo, un grupo cada vez mayor de usuarios sin saberlo habrán descargado nuestra extensión falsa. A medida que aumenten estas cifras, la extensión ganará credibilidad», dijo AquaSec. «Además, dado que en la web oscura es posible comprar varios servicios, un atacante extremadamente determinado podría potencialmente manipular estos números comprando servicios que inflarían la cantidad de descargas y estrellas».

AquaSec también observó la insignia de verificación en VSCode Marketplace y concluyó que la función no tiene sentido, ya que cualquier publicación con un dominio comprado obtiene una, independientemente de la relevancia del dominio para el proyecto de software.

Si bien los investigadores solo hicieron una prueba de concepto, también encontraron un código malicioso real al acecho en la tienda. Estos se denominan «Complemento generador de API» y «probador de código».

Visual Studio Code es el editor de código fuente de Microsoft, utilizado por alrededor del 70% de los desarrolladores de software profesionales en todo el mundo, según BleepingEquipo. Las extensiones se pueden usar para instalar programas adicionales, robar código fuente o manipularlo de otras maneras en el IDE de VSCode.

Vía: BleepingComputer (se abre en una pestaña nueva)

Source link-35

VSCode – Magazine Office

Los piratas informáticos están utilizando extensiones maliciosas de Microsoft VSCode para robar contraseñas

El VSCode Marketplace es bastante fácil de hackear con extensiones maliciosas