Bösartige VSCode-Erweiterungen werden für Entwickler weltweit zu einem besorgniserregenden Problem. Visual Studio Code (VSCode), ein weit verbreiteter Quellcode-Editor von Microsoft, bietet einen Marktplatz, auf dem Entwickler verschiedene Erweiterungen zum Erweitern der Funktionalität herunterladen können.
Jüngste Erkenntnisse israelischer Forscher offenbaren jedoch erhebliche Schwachstellen in diesem Markt und unterstreichen das Risiko bösartiger VSCode-Erweiterungen. Diese Erweiterungen, die oft als legitime Tools getarnt sind, können Systeme infiltrieren und vertrauliche Informationen stehlen und stellen somit eine ernsthafte Bedrohung für Entwickler und Organisationen dar.
Wie bösartige VSCode-Erweiterungen Entwickler ausnutzen
Eine Gruppe von Forschern experimentierte, um die Sicherheit der VSCode-Marktplatz. Sie zielten auf eine beliebte Themenerweiterung ab, das Thema „Dracula Official“, das über 7 Millionen Mal installiert wurde. Durch die Erstellung einer Typosquatted-Version mit dem Namen „Darcula,„Sie konnten Benutzer dazu verleiten, eine bösartige VSCode-Erweiterung herunterzuladen. Diese gefälschte Erweiterung enthielt versteckten Code, um Systemdaten zu sammeln und auf einen Remote-Server zu übertragen, und imitierte zudem die eigentliche Funktionalität. Da mehrere namhafte Firmen die bösartige VSCode-Erweiterung ohne Vorwarnung installierten, verdeutlichte der Erfolg des Experiments die Schwächen des Marktes.
Nach ihrem ersten Experiment entwickelten die Forscher ein benutzerdefiniertes Tool namens „ExtensionTotal“, um den VSCode-Marktplatz weiter zu untersuchen. Ihre Untersuchung deckte Tausende bösartiger VSCode-Erweiterungen mit riskantem oder bösartigem Code auf. Sie fanden 1.283 Erweiterungen mit bekanntem bösartigem Code, 8.161 Erweiterungen, die mit fest codierten IP-Adressen kommunizierten, 1.452, die unbekannte ausführbare Dateien ausführten, und 2.304, die das GitHub-Repository eines anderen Herausgebers verwendeten, was auf potenzielle Nachahmererweiterungen hindeutet. Diese Ergebnisse zeigen, in welchem Ausmaß der Marktplatz von bösartigen VSCode-Erweiterungen geplagt ist, wobei zahlreiche Erweiterungen erhebliche Risiken für die Benutzer darstellen.
Die Sicherheitslücken im VSCode-Marktplatz
Da es im VSCode Marketplace keine strengen Sicherheitsmaßnahmen gibt, können sich bösartige VSCode-Erweiterungen verbreiten. Herkömmliche Tools zur Endpunkterkennung und -reaktion (EDR) können diese Bedrohungen häufig nicht erkennen, da VSCode als Entwicklungs- und Testplattform regelmäßig zahlreiche Befehle und Prozesse ausführt. Diese inhärente Komplexität bietet eine bequeme Tarnung für bösartige VSCode-Erweiterungen und erschwert es Sicherheitstools, zwischen legitimen und schädlichen Aktionen zu unterscheiden. Folglich können Bedrohungsakteure diese Lücken ausnutzen, um relativ einfach bösartige VSCode-Erweiterungen zu verbreiten.
Mehrere hochkarätige Ziele, darunter ein börsennotiertes Unternehmen mit einer Marktkapitalisierung von 483 Milliarden US-Dollar, Wertpapierfirmen und ein nationales Gerichtsnetzwerk, installierten unbeabsichtigt die fiktive „Darcula“-Erweiterung der Forscher. Obwohl die Forscher die Namen der betroffenen Unternehmen nicht bekannt gaben, zeigt das Experiment das Potenzial für erheblichen Schaden, wenn solche bösartigen VSCode-Erweiterungen mit böswilliger Absicht verwendet würden. Die Forscher sammelten verantwortungsbewusst nur identifizierende Informationen und gaben ihre Ergebnisse an Microsoft weiter, aber die Mehrheit der erkannten bösartigen VSCode-Erweiterungen steht weiterhin zum Download zur Verfügung.
Mit mehr Sicherheit in die Zukunft
Die Erkenntnisse der Forscher haben zu Forderungen nach verbesserten Sicherheitsmaßnahmen im VSCode Marketplace geführt. Sie planen, ihr Tool „ExtensionTotal“ zu veröffentlichen, um Entwicklern dabei zu helfen, ihre Umgebungen nach potenziellen Bedrohungen zu durchsuchen. In der Zwischenzeit wartet die Community auf die Antwort von Microsoft und etwaige nachfolgende Maßnahmen zur Stärkung der Sicherheit des Marktplatzes. Durch die Gewährleistung robuster Sicherheitsmaßnahmen und einer aufmerksamen Überwachung können die Risiken durch bösartige VSCode-Erweiterungen gemindert und sowohl einzelne Entwickler als auch große Organisationen vor potenziellen Cyberbedrohungen geschützt werden.
Das Problem bösartiger VSCode-Erweiterungen ist ein dringendes Problem, das die Notwendigkeit verbesserter Sicherheitsmaßnahmen im VSCode Marketplace unterstreicht. Die Experimente und die daraus resultierenden Erkenntnisse der Forscher zeigen erhebliche Schwachstellen auf, die von Bedrohungsakteuren ausgenutzt werden können und ernsthafte Risiken für Entwickler und Organisationen darstellen. Während die Community auf die Reaktion von Microsoft wartet, müssen Entwickler wachsam bleiben und die verfügbaren Tools nutzen, um ihre Umgebungen vor diesen versteckten Bedrohungen zu schützen. Die anhaltende Präsenz bösartiger VSCode-Erweiterungen ist eine deutliche Erinnerung an die anhaltende Notwendigkeit umfassender Sicherheitsprotokolle in Softwareentwicklungsumgebungen.
Bildnachweis: Benjamin Lehman / Unsplash
Source: Die versteckte Bedrohung bösartiger VSCode-Erweiterungen
