Microsoft ha eliminado dos extensiones populares de Vscode, iconos de “tema de material -” gratis “y” tema de material – gratis “, del mercado de Visual Studio para contener alternativamente un código malicioso.
Las dos extensiones son muy populares, ya que se han descargado casi 9 millones de veces en total, los usuarios que ahora reciben alertas VSCode de que las extensiones se han desactivado automáticamente.
La editorial, Mattia Astorino (alias equinusocio), tiene varias extensiones en el mercado VSCode, por un total de más de 13 millones de instalaciones.
La noticia de las extensiones maliciosas proviene de los investigadores de ciberseguridad Amit Assaraf e Itay Kruk, que tienen experiencia en la digitalización de VSCOD para extensiones maliciosas.
En Informe publicado hoyLos investigadores dicen que han descubierto el código sospechoso en extensiones e informaron sus resultados a Microsoft.
“Microsoft ha eliminado las dos extensiones del Vs Code Marketplace y prohibió al desarrollador”, lee un artículo de un empleado de Microsoft en Hacker News de Ycombinator.
“Un miembro de la comunidad realizó un análisis de seguridad profundo de la extensión y encontró varias banderas rojas que indican una intención maliciosa e informaron esto para nosotros. Nuestros investigadores de seguridad de Microsoft confirmaron estas quejas y encontraron un código sospechoso adicional”.
“Hemos prohibido al editor del VS Marketplace y eliminamos todas sus extensiones y desinstalado de todas las instancias de Código VS que tienen esta extensión en progreso. Para más claridad, la eliminación no tenía nada que hacer con respecto a los derechos de autor, solo sobre la intención de potencial maliciosa”.
Fuente: bsdahl
Los investigadores declararon que suplía que su escáner especializado había detectado una actividad maliciosa en el código de extensión. Uno de los investigadores, Amit Assaraf, dice que cree que el código malicioso se ha introducido en una actualización de extensiones, lo que indica un ataque en cadena de dependencia o la cuenta del desarrollador se ha comprometido.
Fuente: App.extensionTotal.com
Además, han explicado que los temas deben ser archivos JSON estáticos y no ejecutar código, por lo que este comportamiento se marcó como sospechoso en su evaluación.
Según lo verificado por Bleeping Compompute, los archivos “Release-to-” en el tema contienen un JavaScript altamente oscurecido, que siempre es una bandera roja en el software de código abierto.
Fuente: BleepingCompute
Una desobfuscación parcial del código ha mostrado muchas referencias a los nombres de usuario y contraseñas. Sin embargo, como el archivo aún estaba fuertemente oscurecido, BleepingCompute no pudo determinar cómo fueron referenciados.
Microsoft dice que publicarán más detalles sobre la extensión y cualquier actividad maliciosa detectada en el Repositorio de Github vsmarketplace Pronto.
El desarrollador de extensiones, Mattia Astorino (alias equinusocio), respondió a las preocupaciones sobre extensiones maliciosas, declarando que los problemas son causados por una dependencia obsoleta. Que “parece comprometida”.
“Estimado @gegtor, nunca se ha enviado nada dañino en el tema del equipo”. Un mensaje de Astorino En el sistema de referencia de Microsoft vsmarketPlacaie.
“Acabamos de tener una cordura obsoleta.
“Esta dependencia ha estado allí desde 2016 y ha pasado cada cheque desde entonces, ahora parece estar comprometido, pero nadie de Microsoft nos ha alcanzado para eliminarlo. Simplemente bajó todo lo que causa problemas a millones de usuarios y causa un bucle VScode (sí, eso es su culpa)”
“Rompieron todo sin contactarnos nunca para aclararnos. La abolición de la antigua dependencia fue una corrección rápida de 30 segundos, pero parece que es tan bien como Microsoft.
Hasta que la situación se aclare y se determine si las extensiones son maliciosas o no, se recomienda eliminar los siguientes todos los proyectos:
- Equinusocio.moxer-temo
- Equinusocio.vsc-materia-tema
- Equinusocio.vsc-Material-Theme-ícons
- Equinusocio.vsc-Community-Materiau-Theme
- Equinusocio.moxer-ícons
El desarrollador, Astorino, luego publicó lo que afirman ser una “extensión completamente reescritura” sin ninguna dependencia llamada “temas de franja” en el mercado VScode, que Microsoft luego eliminó.
En respuesta a nuestras preguntas sobre el archivo de liberación oscurecido, Astorino repitió lo que publicó en Github, declarando que la dependencia de @sanity estaba comprometida y podría haberse eliminado rápidamente si hubiera sido informado.
“El archivo de notas de versión se ha realizado y utilizado para generar una vista web para mostrar cambios de Sanity.io, un CMS sin cabeza en 2016”, dijo Astorino a BleepingCompter.
“Nunca lo he tocado desde entonces, porque me centré en la nueva versión de la extensión. Lo único dañino era la vieja (y única) la dependencia @sanity que estaba comprometida. Pero no lo sabía”.