Security Wine (бывший - DevSecOps Wine)

Как мы взломали многомиллиардные компании за 30 минут с помощью поддельного расширения VSCode 😇

Тема supply chain не имеет конца и края. Сегодняшний пост мы начнем со статистики о плагинах VS Code:

- 1,283 расширений VS Code содержат известные вредоносные зависимости, с общим числом установок 229 миллионов.
- 87 расширений пытаются прочитать файл /etc/passwd на хост-системе.
- 8,161 расширений общается с жестко закодированным IP-адресом.
- 1,452 расширений запускают неизвестные исполняемые файлы или DLL.
- 145 расширений были отмечены VirusTotal с высокой степенью уверенности.
- 2,304 расширений используют репозиторий другого издателя на GitHub.

Такой статистикой поделились авторы сервиса ExtensionTotal по проверке безопасности плагинов VS Code в своей серии статей (часть 1, часть 2).

А теперь пара слов, почему так происходит:

- Стать "проверенным" издателем на VSCode Marketplace можно, просто подтвердив домен.
- Можно связать любое репо на GitHub с вашей страницей расширения, даже если оно вам не принадлежит.
- Расширения могут выполнять произвольный код, создавать процессы, выполнять системные вызовы, импортировать любые пакеты NodeJS.
- Расширения автоматически обновляются, что позволяет атакующему вставить вредоносный код после роста популярности плагина.

В частности, авторы статей разместили копию популярного плагина Darcula. В результате за сутки плагин вывелся в топы, а авторы получили пинги от крупных компаний, чьи имена не раскрыли. Скорее всего, речь идет о техногигантах вроде Microsoft, Google, Apple, Amazon.

Таким образом, "потоп" продолжается и по мере усложнения экосистем и зависимостей количество "сценариев провала" возрастает. Полностью закрыть возникающие потребности в информационной безопасности не может ни автоматизация, ни искусственный интеллект, ни развитие новых образовательных подходов. Времени, технологий и рук решительно не хватает. Подробнее об этом в нашем материале на соседнем канале:

https://www.tgoop.com/radcop_online/138

Интересно, когда появятся сервисы по сканированию плагинов для кофеварок и плоек? 😁

#supplychain

Extensiontotal

ExtensionTotal | Supply Chain Gateway for Software Marketplaces

ExtensionTotal empowers security teams to secure software marketplaces, from IDE extensions (e.g. VSCode, JetBrains) to browser extensions (e.g. Chrome, Edge), brew, code packages, and AI models.

www.tgoop.com/sec_devops/597

6.7K viewsRustam Guseynov, Jun 21, 2024 at 07:01

Как мы взломали многомиллиардные компании за 30 минут с помощью поддельного расширения VSCode 😇

Тема supply chain не имеет конца и края. Сегодняшний пост мы начнем со статистики о плагинах VS Code:

- 1,283 расширений VS Code содержат известные вредоносные зависимости, с общим числом установок 229 миллионов.
- 87 расширений пытаются прочитать файл /etc/passwd на хост-системе.
- 8,161 расширений общается с жестко закодированным IP-адресом.
- 1,452 расширений запускают неизвестные исполняемые файлы или DLL.
- 145 расширений были отмечены VirusTotal с высокой степенью уверенности.
- 2,304 расширений используют репозиторий другого издателя на GitHub.

Такой статистикой поделились авторы сервиса ExtensionTotal по проверке безопасности плагинов VS Code в своей серии статей (часть 1, часть 2).

А теперь пара слов, почему так происходит:

- Стать "проверенным" издателем на VSCode Marketplace можно, просто подтвердив домен.
- Можно связать любое репо на GitHub с вашей страницей расширения, даже если оно вам не принадлежит.
- Расширения могут выполнять произвольный код, создавать процессы, выполнять системные вызовы, импортировать любые пакеты NodeJS.
- Расширения автоматически обновляются, что позволяет атакующему вставить вредоносный код после роста популярности плагина.

В частности, авторы статей разместили копию популярного плагина Darcula. В результате за сутки плагин вывелся в топы, а авторы получили пинги от крупных компаний, чьи имена не раскрыли. Скорее всего, речь идет о техногигантах вроде Microsoft, Google, Apple, Amazon.

Таким образом, "потоп" продолжается и по мере усложнения экосистем и зависимостей количество "сценариев провала" возрастает. Полностью закрыть возникающие потребности в информационной безопасности не может ни автоматизация, ни искусственный интеллект, ни развитие новых образовательных подходов. Времени, технологий и рук решительно не хватает. Подробнее об этом в нашем материале на соседнем канале:

https://www.tgoop.com/radcop_online/138

Интересно, когда появятся сервисы по сканированию плагинов для кофеварок и плоек? 😁

#supplychain

BY Security Wine (бывший - DevSecOps Wine)