Advarer: Ondsinnede VS Code-tillegg installert over 200 millioner ganger

Forskere advarer om hvor lett det er å plante skadevare i VS Code Marketplace.

Israelske forskere har vist hvor lett det er å plante ondsinnede VS Code-tillegg på VS Code Marketplace. <a href="https://unsplash.com/@altumcode?utm_content=creditCopyText&amp;utm_medium=referral&amp;utm_source=unsplash">📸: AltumCode</a>, <a href="https://unsplash.com/photos/person-typing-on-turned-on-macbook-mCj7UinqOYQ?utm_content=creditCopyText&amp;utm_medium=referral&amp;utm_source=unsplash">Unsplash</a>
Israelske forskere har vist hvor lett det er å plante ondsinnede VS Code-tillegg på VS Code Marketplace. 📸: AltumCode, Unsplash Vis mer

En gruppe israelske forskere har undersøkt sikkerheten i Visual Studio Code Marketplace, og klarte ifølge Bleeping Computer å "infisere" mer enn 100 bedrifter ved å lage en falsk versjon av det populære Dracula-temaet for VS Code.

Ved nærmere undersøkelser fant forskerne ut at VS Code Marketplace allerede inneholdt tusenvis av andre tillegg med skadelig kode.

Tilleggene er installert hundrevis av millioner ganger.

"Typosquatting"

Såkalt "typosquatting" innebærer å lure brukere til å installere noe annet enn det de tror de installerer, gjennom å bruke små forskjeller i skrivemåte.

Vi skrev for litt over ett år siden om hvordan sikkerhetsforskere enkelt fikk utviklere til å laste ned en falsk versjon av den populære VS Code-utvidelsen Prettier.

Microsoft uttalte den gangen at de skanner VS Code-tillegg for virus og skadevare, samt sjekker om utvidelsen har et Marketplace-sertifikat og en verifiserbar signatur før den installeres.

Likevel ser det ut til at problemet fortsatt eksisterer. I sitt siste eksperiment lagde de israelske forskerne en VS Code-utvidelse som het "Darcula Official" – altså "Dracula Official" feilstavet. Forskerne registrerte et matchende domene – darculatheme.com – og brukte dette til å bli en verifisert utgiver på VS Code Marketplace.

Darcula er en falsk versjon av det populære Dracula-temaet. 📸: Skjermbilde fra VS Code Marketplace
Darcula er en falsk versjon av det populære Dracula-temaet. 📸: Skjermbilde fra VS Code Marketplace Vis mer

Forskernes utvidelse brukte koden fra det ekte Dracula-temaet, men la også inn et skript som samlet inn en del systeminformasjon fra brukerens PC og sendte dette til en server via en HTTPS POST-request.

Det falske tillegget til forskerne ligger fortsatt på VS Code Market, og er merket med at "Denne utvidelsen samler inn følgende informasjon til forskningsformål: Brukernavn, domenenavn, antall installerte utvidelser, og gjør en demo av kommandoeksekvering".

Ble ikke fanget opp

– Dessverre fanger ikke tradisjonelle verktøy for endepunktsikkerhet opp denne aktiviteten, skriver forskerne.

De mener årsaken er at systemer for endepunktsikring ikke klarer å forstå hvorvidt aktiviteten fra VS Code er legitim eller ikke. VS Code er nemlig laget for å lese masse filer, kjøre kommandoer og i praksis gjøre mye av det også ondsinnet programvare vil gjøre.

Ifølge sikkerhetsforskerne ble det falske VS Code-tillegget installert av store bedrifter, også sikkerhetsselskaper.

Tillegget inneholdt ingen faktisk ondsinnet kode, men kode for å kunne identifisere hvem som installerte det.

Installert millioner av ganger

Forskerne brukte også et egenutviklet verktøy for å undersøke hvor mange andre VS Code-tillegg med skadevare som fantes i VS Code Marketplace.

Ifølge forskerne inneholdt hele 1.283 tillegg kjent ondsinnet kode. Disse tilleggene var installert hele 229 millioner ganger.

Det var også 8.161 tillegg som kommuniserte mot hardkodede IP-adresser, 1.452 som kjørte ukjente eksekverbare filer, samt 2.304 som brukte GitHub-repoet til andre utgivere – noe som kan tyde på at tillegget er en kopi av et annet.

– Som du kan se av tallene, er det en masse utvidelser på VS Code Marketplace som utgjør en risiko for bedrifter, advarer forskerne.

Microsoft har ikke besvart Bleeping Computers henvendelser om kommentar.