Microsoft, kötü amaçlı kod içerdiği iddia edilen Visual Studio Marketplace’ten ‘Malzeme Teması – Ücretsiz’ ve ‘Malzeme Tema Simgeleri – Ücretsiz’ adlı iki popüler VSCODE uzantısını kaldırdı.
İki uzantısı çok popüler, toplamda yaklaşık 9 milyon kez indirildi, kullanıcılar şu anda VSCode’de uzantıların otomatik olarak devre dışı bırakıldığı konusunda uyarılar alıyor.
Yayıncı Mattia Astorino (diğer adıyla Equinusocio), VSCode pazarında toplam 13 milyondan fazla kurulum var.
Kötü niyetli olan uzantıların haberi, kötü niyetli uzantılar için VSCODE’yi tarama konusunda uzmanlığa sahip olan siber güvenlik araştırmacıları Amit Assaraf ve Itay Kruk’tan geliyor.
Bugün yayınlanan bir raporda, araştırmacılar uzantılarda şüpheli kod keşfettiklerini ve bulgularını Microsoft’a bildirdiklerini söylüyorlar.
Microsoft çalışanından YcomBinator’ın hacker News’e bir yayın okuyor.
“Topluluğun bir üyesi uzantının derin bir güvenlik analizini yaptı ve kötü niyetli niyeti gösteren ve bunu bize bildiren birden fazla kırmızı bayrak buldu. Microsoft’taki güvenlik araştırmacılarımız bu iddiaları doğruladı ve ek şüpheli kod buldu.”
“Yayıncıyı VS Marketplace’ten yasakladık ve tüm uzantılarını kaldırdık ve bu uzantıya sahip tüm VS kod örneklerinden kaldırıldık. Açıklık için – kaldırmanın telif hakkı/lisansları hakkında, sadece potansiyel kötü niyetli niyet hakkında hiçbir şey yapmadığı.”
Kaynak: Bsdahl
Araştırmacılar, BleepingComputer’a uzmanlaşmış tarayıcılarının uzantının kodunda kötü niyetli etkinlik tespit ettiğini söyledi. Araştırmacılardan biri olan Amit Assaraf, kötü amaçlı kodun uzantılara yapılan bir güncellemede tanıtıldığına inandıklarını ve bir bağımlılıktan bir tedarik zinciri saldırısı veya geliştiricinin hesabının tehlikeye atıldığını gösterdiğini söylüyor.
Kaynak: App.ExtensionTotal.com
Ayrıca, temaların statik JSON dosyaları olması ve herhangi bir kod yürütmemesi gerektiğini açıkladılar, bu nedenle bu davranış değerlendirmelerinde şüpheli olarak işaretlendi.
BleepingComputer tarafından doğrulandığı gibi, temadaki “Sürüm-Notes.js” dosyaları, açık kaynaklı yazılımlarda her zaman kırmızı bir bayrak olan yoğun bir şekilde gizlenmiş JavaScript içerir.
Kaynak: BleepingComputer
Kodun kısmi olarak tanımlanması, kullanıcı adlarına ve şifrelere çok sayıda referans gösterdi. Bununla birlikte, dosya hala yoğun bir şekilde gizlendiğinden, bipingcomputer nasıl atıfta bulunulduklarını belirleyemedi.
Microsoft, yakında VSMarketplace GitHub deposuna uzantı ve tespit edilen kötü niyetli etkinlikler hakkında daha fazla ayrıntı yayınlayacaklarını söylüyor.
Uzantıların geliştiricisi Mattia Astorino (AKA Equinusocio), uzantıların kötü niyetli olduğu endişelerine yanıt verdi, bu da sorunların eski akıl sağlığından kaynaklandığını belirtti.
Microsoft’un VSMarketplace deposundaki Astorino’dan bir yazı “Sevgili @Gegtor hiçbir şey zararlı hiçbir şey zararlı gönderilmedi.”
“Sadece eski bir akıl sağlığı vardı.
Diyerek şöyle devam etti: “Bu bağımlılık 2016’dan beri oradaydı ve o zamandan beri her kontrolü geçti, şimdi tehlikeye atılmış görünüyor, ancak Microsoft’tan hiç kimse bize ulaşmadı. Sadece milyonlarca kullanıcıya sorunlara neden olan ve VSCODE’de bir döngüye neden olan her şeyi indirdiler (evet, onların hatası)”
“Açıklama için bize ulaşmadan her şeyi kırdılar. Eski bağımlılığı ortadan kaldırmak 30 saniyelik hızlı bir düzeltme idi, ancak Microsoft’un nasıl çalıştığı görülüyor. Ayrıca tüm tema komutlarını ve mantığını içeren bir index.js dosyası gönderiyoruz. Bu, uzatma şimdi kapalı olduğu için hala işlev görürse, çünkü uzatma hala işlev görüyor.”
Durum temizlenene ve uzantıların kötü niyetli olup olmadığı belirlenene kadar, aşağıdakilerin tüm projelerden kaldırılması önerilir:
- Equinusocio.moxer-Theme
- Equinusocio.vsc-materyal-tema
- Equinusocio.VSC-Malzemesi-İkizler
- Equinusocio.vsc-topluluğu-materyal-tema
- Equinusocio.moxer-AN
Geliştirici Astorino, daha sonra, Microsoft’un daha sonra kaldırıldığı VSCode pazarına “Fanny Temaları” adlı herhangi bir bağımlılık olmadan “tamamen yeniden yazılmış bir uzantı” olduğunu iddia ettiklerini yayınladı.
Gizli sürüm-notes.js dosyası hakkındaki sorularımıza yanıt olarak, Astorino GitHub’a gönderdiklerini tekrarladı, @Sanity bağımlılığının tehlikeye atıldığını ve bildirildiyse hızla kaldırılmış olabileceğini belirtti.
Astorino, BleepingComputer’a verdiği demeçte, “Sürüm notları dosyası yapıldı ve 2016 yılında başsız bir CMS olan Sandity.io’dan değişiklikler göstermek için bir web görünümü oluşturmak için kullanıldı.”
“O zamandan beri asla dokunmadım, uzantının yeni versiyonuna odaklandığım için. Tek zararlı şey, tehlikeye atılan eski (ve sadece) @Sanity bağımlılığıydı. Ama bilmiyordum.”