Как хакнахме мултимилионни компании с разширение за VSCode
Не всичко, което блести, е злато.
Колкото и да се повтаря тази фраза, няма да се изтърка. Но пък и няма да е чута достатъчна, както става ясно от поредната публикация, разказваща как иначе легитимно изглеждащо решение, заблуждава дори и опитни професионалисти.
В публикация в Medium, security анализаторът Amit Assaraf разказва в детайл как успява да прокара зловредно разширение в marketplace-a на VSCode (един от най-попуярните редактори за код или IDE). Функционалността му не е подбрана случайно – то имитира едно от най-популярните разширения за линтване на код „Prettier“ – с една разлика: в него е добавен и зловреден код.
Тактиката на анализатора сработва. В рамките на 48 часа разширението е свалено над 1 500 пъти, което показва следното:
- не трябва да се вярва на автоматизираните проверки за уязвимости на различни marketplace-ове
- трябва да проверявате какво сваляте, дори и като е от легитимни източници
- не трябва да си вярвате твърде много, колкото и да знаете
Защото, освен участниците в теста, описан в Medium, анализаторите са намерили и други плъгини за VSCode, които си „говорят“ с доказано зловредни сървъри, използвани при други атаки.