Un gruppo di ricercatori israeliani ha recentemente scoperto estensioni malevole nel Microsoft Visual Studio Code (VSCode) Marketplace, con milioni di installazioni. Queste estensioni contenevano codice pericoloso, esponendo numerose organizzazioni a potenziali attacchi.
Visual Studio Code รจ un editor di codice sorgente sviluppato da Microsoft, ampiamente utilizzato dai programmatori professionisti. Il marketplace delle estensioni di VSCode offre una vasta gamma di add-on per estendere le funzionalitร dellโapplicazione e personalizzarla ulteriormente. Tuttavia, questo mercato ha mostrato significative lacune di sicurezza, permettendo la pubblicazione di estensioni e publisher falsi, nonchรฉ il furto di token di autenticazione degli sviluppatori.
Typosquatting e Estensioni Malevole
I ricercatori Amit Assaraf, Itay Kruk e Idan Dardikman hanno condotto un esperimento creando unโestensione che imitava il popolare tema โDracula Officialโ, chiamandola โDarculaโ. Questa estensione conteneva codice aggiuntivo che raccoglieva informazioni sul sistema dellโutente, come nome host, numero di estensioni installate, nome del dominio del dispositivo e piattaforma del sistema operativo, inviandole a un server remoto tramite una richiesta HTTPS POST.
Questa estensione fittizia รจ stata rapidamente installata da numerosi obiettivi di alto valore, tra cui una societร quotata in borsa con una capitalizzazione di mercato di 483 miliardi di dollari, importanti aziende di sicurezza e una rete nazionale di giustizia. Fortunatamente, lโesperimento non aveva intenti malevoli e i ricercatori hanno raccolto solo informazioni identificative, includendo una divulgazione nel file Read Me dellโestensione.
Analisi del Mercato delle Estensioni di VSCode
Dopo il successo dellโesperimento, i ricercatori hanno approfondito lโanalisi del marketplace delle estensioni di VSCode, utilizzando uno strumento personalizzato chiamato โExtensionTotalโ. Questo strumento ha permesso di individuare e analizzare estensioni sospette, rivelando:
- 1.283 estensioni con codice malevolo conosciuto (229 milioni di installazioni)
- 8.161 estensioni comunicanti con indirizzi IP hardcoded
- 1.452 estensioni che eseguono eseguibili sconosciuti
- 2.304 estensioni che utilizzano il repository GitHub di un altro publisher, indicando un possibile copia-incolla
Questi numeri evidenziano un serio problema di sicurezza, con molte estensioni che rappresentano un rischio significativo per le organizzazioni. Microsoft รจ stata informata di tutte le estensioni malevole individuate, ma la maggior parte di queste รจ ancora disponibile per il download.
I ricercatori hanno intenzione di rilasciare lo strumento โExtensionTotalโ la prossima settimana, offrendo una risorsa gratuita per aiutare gli sviluppatori a eseguire scansioni dei loro ambienti per potenziali minacce.
Questa scoperta mette in evidenza la necessitร di maggiori controlli di sicurezza e di meccanismi di revisione del codice nel VSCode Marketplace. Le estensioni malevole rappresentano un vettore di attacco esposto e abusato, con un impatto elevato e un rischio significativo per le organizzazioni. La comunitร della sicurezza deve prestare maggiore attenzione a questo problema per proteggere gli sviluppatori e le loro organizzazioni da potenziali minacce.