Um grupo de pesquisadores israelenses revelou vulnerabilidades significativas no marketplace de extensões do Visual Studio Code (VSCode), infectando mais de 100 organizações ao introduzir código arriscado em uma cópia do popular tema ‘Dracula Official’. Esta pesquisa destacou a presença de milhares de extensões potencialmente maliciosas, com milhões de instalações, no VSCode Marketplace.
O que é o VSCode?
O Visual Studio Code (VSCode) é um editor de código-fonte publicado pela Microsoft e amplamente utilizado por desenvolvedores profissionais em todo o mundo. Além disso, a Microsoft opera um mercado de extensões para o IDE, chamado Visual Studio Code Marketplace, que oferece complementos que expandem a funcionalidade do aplicativo e proporcionam mais opções de personalização.
Vulnerabilidades no VSCode Marketplace
Relatórios anteriores já haviam apontado falhas de segurança no VSCode, permitindo a personificação de extensões e publicadores, bem como a existência de extensões que roubam tokens de autenticação de desenvolvedores. Encontraram-se extensões maliciosas sendo utilizadas na prática.
Typosquatting do Tema Dracula
Para seu experimento, os pesquisadores Amit Assaraf, Itay Kruk e Idan Dardikman criaram uma extensão que imitava o tema ‘Dracula Official’, um esquema de cores popular usado por mais de 7 milhões de desenvolvedores no VSCode. O tema falso, chamado ‘Darcula’, utilizava o código real do tema legítimo, mas incluía um script adicional que coletava informações do sistema e as enviava para um servidor remoto.
Metodologia dos Pesquisadores
- Nome da Extensão: ‘Darcula’
- Domínio Registrado: ‘darculatheme.com’
- Código Malicioso: Coleta de informações do sistema (hostname, número de extensões instaladas, nome do domínio do dispositivo e plataforma do sistema operacional).
- Envio de Dados: Via solicitação HTTPS POST para um servidor remoto.
Os pesquisadores notaram que o código malicioso não foi detectado por ferramentas tradicionais de detecção e resposta de endpoint (EDR), uma vez que o VSCode, por sua natureza de desenvolvimento e teste, é tratado com leniência por essas ferramentas.
Resultados do Experimento
A extensão falsa foi instalada por múltiplos alvos de alto valor, incluindo uma empresa pública com capitalização de mercado de $483 bilhões, grandes empresas de segurança e uma rede nacional de justiça. Os pesquisadores optaram por não divulgar os nomes das empresas afetadas.
Status do VSCode Marketplace
Após o sucesso do experimento, os pesquisadores aprofundaram-se no cenário de ameaças do VSCode Marketplace usando uma ferramenta personalizada chamada ‘ExtensionTotal’. Esta ferramenta permitiu encontrar e analisar extensões de alto risco, resultando em descobertas preocupantes:
- 1.283 extensões com código malicioso conhecido (229 milhões de instalações).
- 8.161 comunicando-se com endereços IP hardcoded.
- 1.452 executando executáveis desconhecidos.
- 2.304 usando o repositório do GitHub de outro publicador, indicando serem cópias.
Um exemplo de código malicioso encontrado incluía a abertura de um shell reverso para o servidor do criminoso.
Falhas na Revisão de Código
A falta de controles rigorosos e mecanismos de revisão de código no VSCode Marketplace permite que atores mal-intencionados abusem da plataforma. Os pesquisadores alertam que o número de extensões que representam riscos para organizações é alto e que a segurança dessa vertical precisa de atenção urgente.
Respostas e Planos Futuros
Todas as extensões maliciosas detectadas foram reportadas de forma responsável à Microsoft para remoção. No entanto, a maioria ainda está disponível para download no VSCode Marketplace. Os pesquisadores planejam publicar sua ferramenta ‘ExtensionTotal’ na próxima semana, oferecendo-a gratuitamente para ajudar desenvolvedores a escanear seus ambientes em busca de ameaças potenciais.
A pesquisa revelou vulnerabilidades críticas no Visual Studio Code Marketplace, destacando a necessidade urgente de melhorar a segurança e os processos de revisão de código na plataforma. Desenvolvedores e organizações devem estar cientes dos riscos associados às extensões do VSCode e utilizar ferramentas como a ‘ExtensionTotal’ para proteger seus ambientes de desenvolvimento.
A segurança das extensões do VSCode é uma questão de alta relevância que merece a atenção contínua da comunidade de segurança.
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.
