Các lỗi bảo mật nghiêm trọng được phát hiện trong các phần mở rộng Visual Studio Code phổ biến có thể cho phép kẻ tấn công xâm phạm các máy cục bộ cũng như xây dựng và triển khai hệ thống thông qua môi trường phát triển tích hợp của nhà phát triển (IDE).
Các phần mở rộng dễ bị tấn công có thể được khai thác để chạy mã tùy ý trên hệ thống của nhà phát triển từ xa, điều mà cuối cùng có thể mở đường cho các cuộc tấn công chuỗi cung ứng.
Một số tiện ích mở rộng được đề cập là “LaTeX Workshop”, “Rainbow Fart”, “Open in Default Browser” và “Instant Markdown”, tất cả đều đã tích lũy được khoảng hai triệu lượt cài đặt giữa chúng.
Các nhà nghiên cứu từ nền tảng bảo mật mã nguồn mở Synk cho biết: “Máy của nhà phát triển thường có thông tin xác thực quan trọng, cho phép chúng (trực tiếp hoặc gián tiếp) tương tác với nhiều phần của sản phẩm” nói trong một bài viết chuyên sâu được xuất bản vào ngày 26 tháng 5. “Việc rò rỉ khóa riêng của nhà phát triển có thể cho phép một bên liên quan độc hại sao chép các phần quan trọng của cơ sở mã hoặc thậm chí kết nối với máy chủ sản xuất.”
Phần mở rộng mã VS, giống như tiện ích bổ sung của trình duyệt, cho phép các nhà phát triển tăng cường trình soạn thảo mã nguồn Visual Studio Code của Microsoft với các tính năng bổ sung như ngôn ngữ lập trình và trình gỡ lỗi liên quan đến quy trình phát triển của họ. VS Code được sử dụng bởi 14 triệu người dùng đang hoạt động, khiến nó trở thành một bề mặt tấn công lớn.
Các kịch bản tấn công do ngân hàng Synk nghĩ ra về khả năng các tiện ích mở rộng đã cài đặt có thể bị lạm dụng làm véc tơ cho các cuộc tấn công chuỗi cung ứng bằng cách khai thác các điểm yếu trong các plugin để xâm nhập vào hệ thống của nhà phát triển một cách hiệu quả. Để đạt được hiệu quả đó, các nhà nghiên cứu đã kiểm tra các phần mở rộng VS Code có các triển khai dễ bị tấn công của các máy chủ web cục bộ.
Trong một trường hợp được các nhà nghiên cứu Synk xác định, một lỗ hổng truyền qua đường dẫn được xác định trong Instant Markdown có thể bị một kẻ bất chính lợi dụng có quyền truy cập vào máy chủ web cục bộ (hay còn gọi là localhost) để truy xuất bất kỳ tệp nào được lưu trữ trên máy bằng cách chỉ cần lừa nhà phát triển nhấp vào một URL độc hại.
Như một minh chứng về khái niệm (PoC), các nhà nghiên cứu đã chỉ ra rằng có thể khai thác lỗ hổng này để lấy cắp khóa SSH từ một nhà phát triển đang chạy VS Code và có cài đặt Instant Markdown hoặc Open in Default Browser trong IDE. Mặt khác, LaTeX Workshop bị phát hiện dễ bị tấn công bởi lỗ hổng chèn lệnh do đầu vào không được vệ sinh có thể bị lợi dụng để chạy các tải trọng độc hại.
Cuối cùng, một phần mở rộng có tên Rainbow Fart đã được xác định là có một lỗ hổng trượt zip, cho phép kẻ thù ghi đè các tệp tùy ý trên máy của nạn nhân và thực thi mã từ xa. Trong một cuộc tấn công do các nhà nghiên cứu đưa ra, một tệp ZIP được chế tạo đặc biệt đã được gửi qua một điểm cuối “import-voice-package” được plugin sử dụng và được ghi vào một vị trí nằm ngoài thư mục làm việc của tiện ích mở rộng.
Các nhà nghiên cứu lưu ý: “Cuộc tấn công này có thể được sử dụng để ghi đè lên các tệp như ‘.bashrc’ và cuối cùng đạt được khả năng thực thi mã từ xa”.
Mặc dù các sai sót trong các tiện ích mở rộng đã được giải quyết, nhưng những phát hiện này rất quan trọng đối với loạt của Bảo vệ sự cố điều đó cho thấy làm thế nào các nhà phát triển đã nổi lên như một món sinh lợi mục tiêu tấn công, điều gì xảy ra với các tác nhân đe dọa giải phóng nhiều phần mềm độc hại để xâm phạm các công cụ và môi trường phát triển cho các chiến dịch khác.
Các nhà nghiên cứu của Synk, Raul Onitza-Klugman và Kirill Efimov cho biết: “Những gì đã rõ ràng đối với sự phụ thuộc của bên thứ ba giờ đây cũng rõ ràng đối với các plugin IDE – chúng gây ra rủi ro cố hữu cho một ứng dụng”. “Chúng có khả năng nguy hiểm cả vì các đoạn mã được viết tùy chỉnh và các yếu tố phụ thuộc mà chúng được xây dựng. Những gì được hiển thị ở đây cho VS Code cũng có thể áp dụng cho các IDE khác, có nghĩa là cài đặt một cách mù quáng các tiện ích mở rộng hoặc plugin là không an toàn ( nó chưa bao giờ được). “
