Microsoft, siber güvenlik araştırmacıları, içine gömülü kötü amaçlı kodları keşfettikten sonra, piyasasından yaygın olarak kullanılan iki Visual Studio Kodu (VS kod) uzantılarını, “Malzeme Teması Ücretsiz” ve “Malzeme Tema Simgeleri Ücretsiz” i çıkardı.
Mattia Astorino tarafından geliştirilen bu uzantılar ( Equinusocio), yaklaşık 9 milyon enstalasyon birleştirilmişti, Astorino’nun toplam uzatma indirmeleri 13 milyonu aştı.
Kaldırmanın ardından kullanıcılar, güvenlik nedeniyle uzantıların devre dışı bırakıldığını bildiren uyarılar aldı.
Soruşturma, kötü amaçlı kodun muhtemelen tehlikeye atılmış bir bağımlılık yoluyla veya yakın tarihli bir güncelleme sırasında getirildiğini ortaya koydu.
Bu, olası bir tedarik zinciri saldırısı veya geliştiricinin hesabına yetkisiz erişim önermektedir.
Araştırmacılar, bu gibi temaların genellikle statik JSON dosyalarından oluşması ve herhangi bir kod yürütmemesi gerektiğini, uzantılarda gizlenmiş JavaScript varlığını önemli bir kırmızı bayrak haline getirmesi gerektiğini belirtti.
Kötü niyetli niyet ortaya çıkarıldı
Kötü niyetli davranış başlangıçta, zararlı ve kod uzantılarının tespitinde uzmanlaşmış siber güvenlik uzmanları Amit Assaraf ve Itay Kruk tarafından işaretlendi.
Analiz, kullanıcı adlarına ve şifrelere referansları içeren uzantılarda yoğun bir şekilde gizlenmiş JavaScript kodunu ortaya çıkardı.
Her ne kadar bu kodun kesin amacı karmaşıklığı nedeniyle belirsizliğini korumakla birlikte, varlığı Microsoft tarafından derhal işlem yapılmasını garanti etmek için yeterliydi.
Astorino, sorunu modası geçmiş bir şekilde ilişkilendirerek kasıtlı bir yanlışlığı reddetti Sanity.io 2016’dan beri kullanılan bağımlılık.
Microsoft’u uzantıları kaldırmadan önce bilgilendirmediği için eleştirdi ve bağımlılığı düzeltmenin hızlı bir süreç olacağını iddia etti.
Bununla birlikte, Microsoft’un bağımsız analizi, araştırmacıların bulgularını destekleyerek Astorino ile ilişkili tüm uzantıların pazardan kaldırılmasına yol açtı.
Potansiyel riskler ve öneriler
Olay, yazılım tedarik zincirlerinde kötü niyetli bileşenlerin ortaya koyduğu risklerin altını çizmektedir.
Tehdit aktörleri genellikle meşru uzantılar kisvesi altında zararlı kodu dağıtmak için VS Code Marketplace gibi açık kaynaklı platformlardan yararlanırlar.
Bu durumda, bu uzantıları yükleyen geliştiriciler, bilmeden hassas bilgileri veya sistemleri potansiyel ihlallere maruz bırakabilirler.
Riskleri azaltmak için, geliştiricilere yayınlanan tüm uzantıları kaldırmaları tavsiye edilir. Equinusocioiçermek:
- Equinusocio.moxer-Theme
- Equinusocio.vsc-materyal-tema
- Equinusocio.VSC-Malzemesi-İkizler
- Equinusocio.vsc-topluluğu-materyal-tema
- Equinusocio.moxer-AN.
Bu olay, üçüncü taraf bağımlılıkları incelemenin ve sağlam tedarik zinciri güvenlik uygulamalarının sürdürülmesinin önemini vurgulamaktadır.
Geliştiriciler, araçlarını düzenli olarak denetlemeli ve şüpheli veya gizlenmiş kodlarla uzantılardan kaçınmalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free