Visual Studio Kodu (VS Code) pazarında yakın zamanda ortaya çıkan bir güvenlik açığı, kötü niyetli aktörlerin durdurulan uzatma adlarını ve kayma kötü amaçlı yazılımları şüphesiz geliştiricileri geçmesine izin verdi.
Haziran ayında, ReversingLabs (RL) araştırmacıları, Mart ayında kaldırılan fidye yazılımı özellikli bir uzatma ile aynı “shiba” tanımlayıcısını taşıyan yeni bir kötü niyetli uzatma olan Ahbanc.shiba keşfettiler-uzatma adlarını iddia eden resmi belgeler benzersiz olmalı.
Bu anomali, kaldırılan uzantıların adlarını yeniden kullanmaya izin veren, geliştiricilerin kimliklerini hedefleyen tedarik zinciri saldırılarının kapısını açan bir boşluk ortaya çıkardı.
Tarihsel olarak, çoğu vs kod tehdidi kötü niyetli NPM paketlerini yeniden paketledi. Bununla birlikte, RL’nin tehdit zekası bir değişim gösteriyor: Bugünün kötü niyetli uzantıları, özel indiriciler ve ikinci aşama yüklerle VS kodu için özel olarak hazırlanıyor.
Mart ayında RL, bir test klasöründe dosyaları şifreleyen ve Shiba INU kripto para biriminde ödeme talep eden yeni bir fidye yazılımı modülünü indiren ve uygulayan iki uzantıyı (Ahban.shiba ve Ahban.cychoworld) tanımladı.
Bu uzantılar derhal pazardan çıkarıldı.
Haziran ayında, RL araştırmacıları, yayıncının adı dışında seleflerine aynı şekilde çalışan Ahbanc.shiba’yı gördüler (ahbanC Vs. ahban).
Uzantı tek bir komut kaydetti (shiba.aowoo) çağrıldığında, kurbanın masaüstü test klasöründeki dosyaları şifrelemek için uzak bir sunucudan bir PowerShell komut dosyası indirdi.
“Shiba” tanımlayıcısını paylaşmasına rağmen, uzatma VS Code Marketplace’in benzersiz kontrolleri tarafından engellenmelidir – RL daha derin kazıncaya kadar.
Uzantıyı yayınladıktan sonra, her iki yazarı kullanarak aynı adla “yeni” bir uzantı yayınlamaya çalıştık, Testrl777 Ve Testrl778.
İsim tekrar kullanma boşluğu nasıl çalışır?
Vs kod uzantıları, benzersiz bir kimlik ilan eder package.json tezahür et.
Resmi rehberlik, uzatma adlarının küçük, alansız ve benzersiz platform çapında olması gerektiğini belirtir.
Uygulamada, RL araştırmacıları pazarın sadece benzersizliği zorladığını buldular. yayınlanmamış Uzantılar: Yayıncılar, yalnızca yayınlanmamış (istatistikler kalır) uzantılarının adlarını yeniden kullanamazlar, ancak kaldırılan uzantıların isimleri (istatistikler silinmiş) adil bir oyun haline gelir.
Bunu doğrulamak için RL bir test uzantısı oluşturdu, testrl777.myextensiontestve yayıncıya bakılmaksızın, orijinali yayınlanmamış kaldığında aynı adla ikinci bir uzatma yayınlamanın başarısız olduğunu gözlemledi.
Ancak, orijinal uzantı kaldırıldıktan sonra, RL başarıyla yeni uzantılar yayınladı myextensiontest farklı yayıncılar altında.
Kötü niyetli “Solidity-Etherereum” adı ile aynı deney, tehdit aktörlerinin daha önce kaldırılmış kötü amaçlı paketlerin isimlerini serbestçe talep edebileceğini doğruladı.
Daha geniş sonuçlar ve zaman çizelgesi
Bu boşluk, diğer açık kaynaklı platformlarda benzer güvenlik açıklarını yansıtır. 2023’te RL, silinen PYPI paket adlarının da yeniden tasarlanabileceğini bildirerek kötü niyetli aktörlerin meşru görünümlü isimler altında truva atık python paketleri yayınlamasını sağladı.
Ungreed, açık kaynaklı platform, NPM, PYPI, Rubygems ve Nuget gibi kamu depoları için ücretsiz güvenlik ve risk değerlendirmeleri sağlar. Son zamanlarda RL, platforma VS Code Marketplace eklenmesini tanıttı.
Bununla birlikte, PYPI’nin aksine, VS Code Marketplace, kaldırıldıktan sonra kalıcı olarak rezerve veya kara liste adlarını ayırt etmek için hiçbir mekanizma sağlamaz.
RL’nin zaman çizelgesi, orijinal Ahban.shiba uzantılarının Ekim 2024’te yayınlandığını ve Mart 2025’e kadar kaldırıldığını gösteriyor.
Yeni Ahbanc.shiba, 24 Mart 2025’te, 17 Haziran civarında yayınlanmadan önce Haziran 2025’te güncellenen sürümlerle ortaya çıktı. Çıkarılmamış, adı ayrılmış kaldı – ancak herhangi bir kaldırılan uzantının tanımlayıcısı savunmasız.
VS Code Marketplace popülerliği arttıkça, geliştiriciler uyanık kalmalıdır. RL şunları önerir:
- Uzatma Origins’i izleyin: Kurulumdan önce yayıncıları doğrulayın ve uzatma geçmişlerini gözden geçirin.
- Kod İmzalama ve İncelemeleri Etkinleştir: Bakımlı kod imzalaması ve topluluk denetimleri ile uzantıları destekleyin.
- Güvenlik Araçlarından yararlanın: Depo riskini taramak ve değerlendirmek için RL’s Spectra Acserue topluluğu gibi platformları kullanın.
İsim tekrar kullanma boşluğu, kritik bir tedarik zinciri riskini vurgular: kaldırılmış uzatma-yeniden düzenli veya kötü niyetli-kötü amaçlı yazılımları güvenilir bir isim altında dağıtmak isteyen yeni aktörler tarafından diriltilebilir.
Açık kaynaklı depolar silahlanmaya devam ettikçe, savunma, tanımlayıcı yönetim politikalarını ve uzatma ekosistemlerinin proaktif izlenmesini içerecek şekilde kodun ötesine uzanmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.