محققان در مورد پسوندهای Visual Studio Code مخرب هشدار می دهند

محققان Aqua Nautilus گزارش می دهند که مهاجمان به راحتی می توانند پسوندهای معروف Visual Studio Code را فریب دهند و توسعه دهندگان را فریب دهند تا آنها را دانلود کنند.

آیا توسعه دهندگان می توانند به برنامه های افزودنی دانلود شده برای ویرایشگر کد ویژوال استودیو محبوب مایکروسافت اعتماد کنند؟ محققان Aqua Nautilus می گویند که آنها دریافته اند که مهاجمان می توانند به راحتی جعل برنامه های افزودنی محبوب و فریب توسعه دهندگان ناآگاه آنها را دانلود کنند.

ایلای گلدمن، محقق امنیت Aqua در ممکن است برخی برنامه‌های افزودنی قبلاً از این مزیت استفاده کرده باشند. “nofollow”>پست وبلاگ ۶ ژانویه. گلدمن نوشت: تمایز بین برنامه‌های افزودنی مخرب و خوش‌خیم می‌تواند چالش‌برانگیز باشد و فقدان قابلیت‌های sandbox به این معنی است که برنامه‌های افزودنی می‌توانند باج‌افزار، پاک‌کننده‌ها و سایر کدهای مخرب را نصب کنند. همچنین می‌توان به کد کاربر دسترسی داشت.

افزونه‌های کد VS، که قابلیت‌هایی از پشتیبانی از زبان پایتون تا ویرایش فایل JSON را ارائه می‌دهند، می‌توانند از ویژوال استودیو مایکروسافت دانلود شوند. بازار کد. Aqua Nautilus یک برنامه افزودنی را با نام قالب‌کننده کد Prettier آپلود کرد و شاهد بیش از ۱۰۰۰ نصب در کمتر از ۴۸ ساعت از سراسر جهان بود. پسوند جعلی حذف شده است.

گلدمن خاطرنشان کرد که Visual Studio Code Marketplace یک اسکن ویروس برای هر برنامه افزودنی جدید و به‌روزرسانی‌های بعدی اجرا می‌کند و پس از یافتن افزونه‌های مخرب، آنها را حذف می‌کند. کاربران می توانند افزونه های مشکوک را از طریق پیوند گزارش سوء استفاده گزارش دهند. مایکروسافت بیانیه ای درباره اقدامات احتیاطی که در مورد بازار انجام می دهد منتشر کرد:

برای کمک به ایمن و محافظت از مشتریان، برنامه‌های افزودنی را قبل از آپلود در Marketplace از نظر ویروس‌ها و بدافزارها اسکن می‌کنیم و بررسی می‌کنیم که برنامه افزودنی دارای گواهی Marketplace و امضای قابل تأیید قبل از نصب باشد. برای کمک به تصمیم‌گیری آگاهانه، به مصرف‌کنندگان توصیه می‌کنیم اطلاعاتی مانند تأیید دامنه، رتبه‌بندی و بازخورد را برای جلوگیری از دانلودهای ناخواسته بررسی کنند.

مایکروسافت گفت که از تکنیک های مهندسی اجتماعی برای متقاعد کردن قربانیان برای دانلود یک برنامه افزودنی مخرب استفاده شده است. Visual Studio Code همچنین دارای یک ویژگی Workspace Trust است تا به کاربران کمک کند تصمیم بگیرند که آیا کد در یک پروژه یا پوشه را می توان بدون تایید صریح کاربر توسط ویرایشگر یا توسط برنامه های افزودنی اجرا کرد. پوشه ها را می توان در حالت محدود رها کرد تا در صورت وجود کد، از اجرا جلوگیری شود. قابل اعتماد نیست.

با این وجود، گلدمن هشدار داد که تهدید برنامه‌های افزودنی مخرب Visual Studio Code واقعی است. گلدمن خاطرنشان کرد: افزونه‌های VS Code نیز می‌توانند از NPM بارگیری شوند، که با تهدیدات امنیتی نیز مواجه است.