Investigadores de operaciones de seguridad y gestión de superficies de ataque se infiltran en organizaciones importantes utilizando una extensión falsaPrajeet Nair (@prajeetspeaks) •13 de junio de 2024 Los investigadores de ciberseguridad dijeron que un experimento en el desarrollo de una extensión falsa y maliciosa para el entorno de desarrollo integrado más popular del mundo tuvo éxito más allá de sus expectativas más descabelladas. Ver también: Automatización de la gestión de superficies de ataque: errores y soluciones Los investigadores Amit Assaraf, Itay Kruk e Idan Dardikman subieron una extensión a la plataforma de edición de código fuente de Microsoft Visual Studio Code haciéndose pasar por “Dracula Official”, un tema de color que registra casi 7,2 millones de instalaciones. Assaraf y compañía llamaron a su tema «Oficial de Darcula». Las extensiones son una característica importante de VSCode: la idea es que los desarrolladores conviertan su instancia de VSCode en un editor personalizable con las características que desean más allá de la funcionalidad básica proporcionada de fábrica. En una publicación de blog, Assaraf dijo que cuenta aproximadamente 60.000 extensiones VSCode de aproximadamente 45.000 editores diferentes. Sólo alrededor de 1.800 de ellos están verificados, pero resulta que convertirse en un editor verificado es un poco más difícil que verificar el control sobre un dominio, lo que hicieron los investigadores para darculatheme.com. La extensión ganó popularidad rápidamente, con más de 100 instalaciones en un día, incluso en una máquina con Windows dentro de una empresa que cotiza en bolsa con un valor de 483 mil millones de dólares. Assaraf no nombró la empresa. La extensión falsa exfiltró el código fuente y también envió balizas que contenían información detallada de la máquina host, incluido el nombre de host, el dominio, la plataforma y la cantidad de extensiones instaladas. Su éxito se debe a malas decisiones de diseño por parte de Microsoft, escribió Assaraf en una publicación de blog de seguimiento. «Microsoft no ha implementado ningún tipo de gestión de permisos o visibilidad para las extensiones instaladas, lo que significa que cualquier extensión puede realizar cualquier acción API», dijo. «Por ejemplo, una extensión de tema que solo debería cambiar los colores de mi IDE, puede ejecutar código y leer o escribir archivos sin ninguna visibilidad o autorización explícita del usuario». Microsoft tampoco limita lo que las extensiones VSCode pueden hacer en la máquina host. «Pueden generar procesos secundarios, pueden ejecutar llamadas al sistema, pueden importar cualquier paquete NodeJS que quieran, lo que los hace altamente riesgosos». El investigador también culpó a Microsoft por permitir actualizaciones automáticas y silenciosas de las extensiones, abriendo un camino para que los piratas informáticos propaguen una extensión legítima y luego la conviertan en maliciosa. Los investigadores investigaron si actores malévolos habían explotado previamente tácticas similares y descubrieron 1.283 extensiones que contenían código malicioso. Las extensiones acumularon 229 millones de instalaciones. También encontraron 8.161 extensiones que se comunicaban con direcciones IP codificadas, 1.452 ejecutaban binarios ejecutables desconocidos y 2.304 utilizaban el repositorio GitHub de otro editor como su repositorio oficial. En respuesta a sus hallazgos, los investigadores iniciaron un proceso de divulgación responsable con las empresas afectadas. También están desarrollando ExtensionTotal, una herramienta destinada a analizar y evaluar el riesgo de las extensiones VSCode. URL de la publicación original: https://www.databreachtoday.com/visual-studio-code-has-malicious-extension-problem-a-25519