Güvenlik Operasyonları
Araştırmacılar Sahte Uzantı Kullanarak Büyük Kuruluşlara Sızıyor
Prajeet Nair (@prajeetspeaks) •
13 Haziran 2024
Siber güvenlik araştırmacıları, dünyanın en popüler entegre geliştirme ortamı için sahte, kötü amaçlı bir uzantı geliştirme deneyinin en çılgın beklentilerinin ötesinde başarılı olduğunu söylüyor.
Ayrıca bakınız: Hibrit Bulut Ağ Güvenliği Yatırımınızı Gerektirme
Araştırmacılar Amit Assaraf, Itay Kruk ve Idan Dardikman, Microsoft kaynak kodu düzenleme platformu Visual Studio Code’a, yaklaşık 7,2 milyon yükleme kaydeden bir renk teması olan “Drakula Resmi” kılığına giren bir uzantı yüklediler.
Assaraf ve şirket temalarını “Darcula Resmi” olarak adlandırdı.
Uzantılar VSCode’un önemli bir özelliğidir; buradaki fikir, geliştiricilerin VSCode örneklerini, kutudan çıktığı gibi sağlanan temel işlevlerin ötesinde istedikleri özelliklere sahip, özelleştirilebilir bir düzenleyiciye dönüştürmeleridir. Bir blog yazısında Assaraf, yaklaşık 45.000 farklı yayıncıdan yaklaşık 60.000 VSCode uzantısı saydığını söyledi. Bunların yalnızca yaklaşık 1.800’ü doğrulandı; ancak doğrulanmış bir yayıncı olmanın, araştırmacıların darculatheme.com için yaptığı gibi, bir alan adı üzerindeki kontrolü doğrulamaktan biraz daha zor olduğu ortaya çıktı.
Uzantı, günde 100’den fazla kurulumla hızla popülerlik kazandı; Assaraf, şirketin adını vermeden yazdı – 483 milyar dolar değerindeki halka açık bir şirketteki bir Windows makinesine. Sahte uzantı, kaynak kodunu sızdırdı ve ayrıca ana bilgisayar adı, etki alanı, platform ve yüklü uzantıların sayısı dahil olmak üzere ayrıntılı ana makine bilgilerini içeren işaretler gönderdi.
Assaraf, takip eden bir blog yazısında, başarılarının Microsoft’un kötü tasarım tercihlerinden kaynaklandığını yazdı.
“Microsoft, yüklü uzantılar için herhangi bir izin yönetimi veya görünürlük uygulamadı; bu, herhangi bir uzantının herhangi bir API eylemini gerçekleştirebileceği anlamına geliyor” dedi. “Örneğin, yalnızca IDE’min renklerini değiştirmesi gereken bir tema uzantısı, kullanıcının herhangi bir görünürlüğü veya açık izni olmadan kod çalıştırabilir ve dosyaları okuyabilir veya yazabilir.”
Microsoft ayrıca VSCode uzantılarının ana makinede yapabileceklerini de sınırlamaz. “Alt süreçleri oluşturabilirler, sistem çağrılarını yürütebilirler, istedikleri herhangi bir NodeJS paketini içe aktarabilirler, bu da onları oldukça riskli hale getirir.” Araştırmacı ayrıca Microsoft’u, uzantıların sessiz ve otomatik olarak güncellenmesine izin verdiği için suçladı; bu da bilgisayar korsanlarının meşru bir uzantıyı yaymasına ve daha sonra onu kötü amaçlı hale getirmesine yol açtı.
Kötü niyetli aktörlerin daha önce benzer taktiklerden yararlanıp yararlanmadığını araştıran araştırmacılar, kötü amaçlı kod içeren 1.283 uzantı keşfetti. Uzantılar 229 milyon yüklemeye ulaştı. Ayrıca sabit kodlanmış IP adresleriyle iletişim kuran 8.161 uzantı, bilinmeyen yürütülebilir ikili dosyaları çalıştıran 1.452 uzantı ve resmi depo olarak başka bir yayıncının GitHub deposunu kullanan 2.304 uzantı buldular.
Bulgularına yanıt olarak araştırmacılar, etkilenen şirketlerle sorumlu bir açıklama süreci başlattı. Ayrıca VSCode uzantılarının riskini analiz etmeyi ve değerlendirmeyi amaçlayan bir araç olan “ExtensionTotal”ı da geliştiriyorlar.