イスラエルのサイバーセキュリティ研究者のグループが、Visual Studio Code (VSCode) マーケットプレイスの深刻な脆弱性を悪用し、トロイの木馬化された拡張機能を使用して 100 以上の組織に感染しました。
一般に VSCode とも呼ばれる Visual Studio Code は、Windows、Linux、macOS、および Web ブラウザー向けに Microsoft によって開発された人気のある無料のソース コード エディターであり、世界中のプロのソフトウェア開発者のかなりの割合で使用されています。
研究者のアミット・アサラフ氏、イタイ・クルク氏、イダン・ダーディクマン氏は、研究結果を実証するために、「ドラキュラ・オフィシャル」(インストール数600万以上)という人気のドラキュラ・テーマを使用し、独自のコピーキャット「ダーキュラ・オフィシャル」を作成した。
ソース コードをダウンロードした後、研究者は独自のコードを追加し、すべてのマーケティング リソースをコピーしました。
これに続いて、公式の draculatheme.com に似たドメイン名、darculatheme[.]com を取得することができました。
このドメインは、偽の拡張機能の信頼性を高めるために、VSCode マーケットプレイスで検証済みの発行者となるために使用されました。チームはわずか 30 分以内に有害な拡張機能を公開することができました。
VSCode Marketplace は、統合開発環境 (IDE) の最も人気のある拡張機能マーケットで、ユーザーが言語、デバッガー、ツールをインストールに追加して、開発ワークフローをサポートできるようにします。
悪意のある拡張機能は、正規の Darcula テーマの実際のコードを使用するだけでなく、ホスト名、ドメイン、プラットフォーム、拡張機能の数などのシステム情報を抽出し、データをリモートに送信する追加のスクリプトも含まれています。 HTTPS POST リクエスト経由でサーバーに送信します。
研究者らによると、「Darcula」拡張機能のアクティビティは、多くのファイルの読み取り、複数のコマンドの実行、子プロセスの作成を可能にするVSCodeの設計により、標準のエンドポイント検出および応答(EDR)ツールでは検出されなかったという。寛大な扱いを受けた。
「残念ながら、従来のエンドポイント セキュリティ ツール (EDR) では、このアクティビティは検出されません (責任ある開示プロセス中に一部の組織に対する RCE の例を実証しましたが)。VSCode は、大量のファイルを読み取り、多くのコマンドを実行し、子プロセスを作成するように構築されていますしたがって、EDR は、VSCode からのアクティビティが正当な開発者のアクティビティなのか、それとも悪意のある拡張機能なのかを理解できません。」 –アミット・アサラフ
興味深いことに、拡張機能が VSCode マーケットプレイスで公開された後、研究者らは、拡張機能を宣伝したり、開発者に拡張機能をインストールさせるために特別なことをしたりすることなく、100 人以上の異なる犠牲者を獲得することができました (「Darcula テーマ」を検索した場合)。
VSCode マーケットプレイスで数日後、この拡張機能は時価総額 4,830 億ドルの上場企業、最大手のセキュリティ会社、および全国の司法裁判所ネットワークによってインストールされました。研究者らは影響を受けた企業名を明らかにしないことを選択した。
この実験には悪意がなかったため、研究者らは識別情報のみを収集し、それを拡張機能の Read Me、ライセンス、およびコードで開示しました。
研究者らは、「ExtensionTotal」という名前のカスタム ツールを使用して VSCode マーケットプレイスの脅威状況を分析し、初期調査で次の高リスクの拡張機能を発見しました。
1,283拡張子の合計数2 億 2,900 万インストール
8161JS コードからハードコーディングされた IP アドレスと通信する拡張機能
1,452ホスト マシン上で未知の実行可能バイナリまたは DLL を実行する拡張機能。
2,304は別の発行者の GitHub リポジトリを公式にリストされたリポジトリとして使用しており、模倣拡張機能を示唆しています。
特に悪意のある Visual Studio Code Marketplace で見つかった 1 つの有害な拡張機能は、サイバー犯罪者のサーバーへのリバース シェルを開くことができました。
「数字を見ればわかるように、Visual Studio Code マーケットプレイスには組織にリスクをもたらす拡張機能が大量にあります。 VSCode 拡張機能は悪用され、露出された攻撃の対象であり、可視性はなく、影響が大きく、リスクが高くなります。この問題は組織に直接的な脅威をもたらすものであり、セキュリティコミュニティの注目に値する」と研究者らは警告した。
研究者らは責任を持って、検出したすべての悪意のある拡張機能を Microsoft に報告し、削除するよう要求しました。この記事の執筆時点では、多くの悪意のある拡張機能が依然として VSCode Marketplace 経由でダウンロードできます。
さらに、研究者らは、開発者が環境内の潜在的な脅威をスキャンできるように、「ExtensionTotal」ツールを無料のツールとしてリリースする予定です。
Microsoft は、Visual Studio Marketplace における悪意のある拡張機能の現状と、セキュリティをどのように強化する計画についての問い合わせにまだ回答していません。