Un grupo de investigadores israelíes exploró la seguridad del Visual Studio Code Marketplace y lograron «infectar» a más de 100 organizaciones al trojanizar una copia del popular tema ‘Dracula Official’ para incluir código riesgoso.
Investigaciones adicionales en el VSCode Marketplace encontraron miles de extensiones con millones de instalaciones. Visual Studio Code (VSCode) es un editor de código fuente publicado por Microsoft y utilizado por muchos desarrolladores profesionales en todo el mundo.
Microsoft también opera un mercado de extensiones para el IDE, llamado Visual Studio Code Marketplace, que ofrece complementos que amplían la funcionalidad de la aplicación y proporcionan más opciones de personalización.
Informes previos han destacado brechas en la seguridad de VSCode, permitiendo la suplantación de extensiones y editores y extensiones que roban tokens de autenticación de desarrolladores.
Los investigadores, Amit Assaraf, Itay Kruk y Idan Dardikman, crearon una extensión que imita el tema ‘Dracula Official’, un esquema de colores oscuro popular que tiene más de 7 millones de instalaciones en el VSCode Marketplace.
Darcula es utilizado por muchos desarrolladores debido a su modo oscuro visualmente atractivo con una paleta de colores de alto contraste, que es fácil para la vista y ayuda a reducir la fatiga ocular durante largas sesiones de codificación.
La extensión falsa utilizada en la investigación fue nombrada ‘Darcula’, y los investigadores incluso registraron un dominio coincidente en ‘darculatheme.com’. Este dominio se utilizó para convertirse en un editor verificado en el VSCode Marketplace, agregando credibilidad a la extensión falsa.
Su extensión utiliza el código real del tema legítimo Darcula pero también incluye un script adicional que recopila información del sistema, incluyendo el nombre del host, el número de extensiones instaladas, el nombre del dominio del dispositivo y la plataforma del sistema operativo, y lo envía a un servidor remoto mediante una solicitud HTTPS POST.
Investigación sobre Extensiones Maliciosas en Visual Studio
Herramientas como EDR tratan a VSCode con indulgencia debido a su naturaleza como sistema de desarrollo y pruebas.
La extensión rápidamente ganó tracción, siendo instalada por varios objetivos de alto valor, incluyendo una empresa que cotiza en bolsa con un valor de mercado de 483 mil millones de dólares, importantes empresas de seguridad y una red de tribunales de justicia nacional.
Los investigadores han optado por no revelar los nombres de las empresas afectadas.
Dado que el experimento no tenía intenciones maliciosas, los analistas solo recolectaron información identificativa y agregaron una divulgación en el archivo Read Me, la licencia y el código de la extensión.
Tras el experimento, los investigadores decidieron explorar el panorama de amenazas del VSCode Marketplace, utilizando una herramienta personalizada llamada ‘ExtensionTotal’ para encontrar extensiones de alto riesgo, desempaquetarlas y escrutar fragmentos de código sospechosos.
Descubrimientos Principales
Durante el proceso, encontraron ejemplos de código malicioso en extensiones del Visual Studio Code Marketplace que abren shells inversos al servidor del ciberdelincuente.
La falta de controles estrictos y mecanismos de revisión de código en el VsCode Marketplace permite a los actores malintencionados abusar de la plataforma. Este problema se agrava a medida que la plataforma se usa más.
Advertencia de los Investigadores
«Como pueden observar, hay una gran cantidad de extensiones que representan riesgos para las organizaciones en el Visual Studio Code Marketplace,» advirtieron los investigadores. «Las extensiones de VSCode son un vector de ataque expuesto y abusado, con baja visibilidad, alto impacto y alto riesgo. Este problema representa una amenaza directa para las organizaciones y merece la atención de la comunidad de seguridad.»
Todas las extensiones maliciosas detectadas fueron reportadas responsablemente a Microsoft para su eliminación. Sin embargo, al momento de escribir esto, la gran mayoría sigue estando disponible para su descarga en el VSCode Marketplace. Los investigadores planean publicar su herramienta ‘ExtensionTotal’ junto con detalles sobre sus capacidades operativas la próxima semana, lanzándola como una herramienta gratuita para ayudar a los desarrolladores.
