Araştırmacılar, VSCode Marketplace’te kötü niyetli faaliyetlerde bir artış tespit ederek, platformun daha önce npm topluluğunda görülenlere benzer tedarik zinciri saldırılarına karşı savunmasızlığını vurguladı.
Kötü niyetli aktörler, kötü amaçlı kod dağıtmak için npm paketlerinden giderek daha fazla yararlanıyor; bu, daha önce VSCode uzantılarında kullanılan npm paketi etherscancontracthandler’ı içeren taktikleri yansıtıyor; bu, gelişen tehdidi vurgulayarak her iki ekosistemde de dikkatli olunması gerektiğinin altını çiziyor.
Node.js ve npm paketleriyle oluşturulan VSCode uzantıları, tehlikeye atılmış npm bağımlılıkları içerme potansiyelleri nedeniyle güvenlik açıkları oluşturabilir.
Uzantılar genellikle güvenli olarak görülse de harici paketlere bağımlı olmaları onları potansiyel bir saldırı vektörü haline getiriyor.
Potansiyel olarak VSCode’a yüklenen kötü amaçlı npm paketleri, yerel geliştirme ortamlarını tehlikeye atabilir, bu da tedarik zinciri saldırıları riskini ve sıkı paket güvenlik kontrolleri ihtiyacını ortaya çıkarabilir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
İndirme işlevine sahip 18 kötü amaçlı VSCode uzantısını içeren bir kampanya Ekim 2024’te ortaya çıktı.
Kripto para temalı karmaşık bir kimlik avı kampanyası, kurbanları kötü amaçlı yazılım yüklemeye yönlendirmek için meşru araçlar olarak gizlenen kötü amaçlı tarayıcı uzantıları geliştirildikçe Zoom kullanıcılarına yönelik hedefli bir saldırıya dönüştü; bu uzantılar, güvenilirliği artırmak için şişirilmiş indirme sayıları ve uydurma incelemeler gibi aldatıcı taktikler kullandı.
Visual Studio Code için Solidity Language desteği olarak gizlenen kötü amaçlı uzantılar, kullanıcıları kandırmak amacıyla Microsoft ve CaptchaCDN gibi görünüşte meşru olanlar da dahil olmak üzere çeşitli alanlardan ikinci aşama bir veri indiren basit bir komut dosyasını gizlemek için JavaScript Obfuscator’ı kullandı.
Kötü amaçlı bir npm paketi olan etherscancontracthandler, kripto topluluğunu hedefleyen, kötü amaçlı VSCode uzantılarına benzeyen bir tehdit aktörü tarafından yayınlandı ve tutarlı bir dize tanımlayıcı kullanarak belirli alanlardan ikincil bir veri indirdi.
VSCode uzantıları ve npm paketlerinin benzer yapılara sahip, karartılmış kötü amaçlı kod içerdiği tespit edildi. Tespit edilmesinin ardından kötü amaçlı npm paketi rapor edildi ve derhal kaldırıldı; böylece etkisi yaklaşık 350 indirme ile sınırlandırıldı.
IDE’ler ve uzantıları, kötü amaçlı kullanım potansiyelleri nedeniyle önemli güvenlik riskleri oluşturur.
IDE’lerin ve bağımlılıklarının düzenli güvenlik değerlendirmeleri, yetkisiz erişimi ve geliştirme ortamı ile tedarik zincirinin tehlikeye atılmasını önlemek için çok önemlidir.
Reversing Labs, yazılım tedarik zincirlerinin, özellikle de npm ve VSCode ekosistemlerinin güvenlik açığını vurguluyor. Kötü niyetli aktörler paketlere kolaylıkla erişim sağlayabilir, arka kapılar ve veri hırsızlığı risklerini ortaya çıkarabilir.
Bu riski azaltmak için kuruluşların ve geliştiricilerin üçüncü tarafların bağımlılıklarını dikkatli bir şekilde değerlendirmeleri ve güçlü güvenlik çözümleri uygulamaları önemlidir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin