Visual Studio Code (VS Code) – один из самых популярных редакторов кода в мире. Его ежемесячная аудитория насчитывает более 15 миллионов разработчиков. Для расширения функциональности VS Code предлагает множество дополнительных расширений, доступных в специальном магазине VS Code Marketplace.
Эксперимент: как создать и распространить вредоносное расширение
Чтобы выявить недостатки системы безопасности расширений VS Code, команда экспертов по кибербезопасности провела показательный эксперимент. Они создали модифицированную версию известного расширения Dracula Theme, в код которого внедрили вредоносный функционал для сбора информации о системе пользователя и передачи этих данных на подконтрольный исследователям сервер.
Созданный в порядке эксперимента поддельный плагин сразу стал популярным – его установили многие организации, в их числе оказались и фирмы с капитализацией в полмиллиарда долларов. Результаты эксперимента продемонстрировали, с какой легкостью злоумышленники могут распространять вредоносное ПО, маскируя его под популярные расширения VS Code.
Масштаб проблемы: миллионы опасных расширений
Обеспокоенные результатами эксперимента, эксперты решили провести масштабный аудит безопасности плагинов, представленных в VS Code Marketplace. Полученные данные оказались крайне тревожными:
- В 1283 плагинах нашли вредоносные «вкрапления». Эти плагины установили 229 миллионов раз.
- 8161 плагин соединяется с одними и теми же IP-адресами.
- 1452 расширения запускают на компьютере пользователя непонятные файлы с расширением exe.
Эти цифры явно указывают на недостаточность действующих механизмов контроля качества и безопасности плагинов для VS Code. Сложившаяся ситуация создает серьезные риски для огромного количества программистов по всему миру, полагающихся на эту популярную среду разработки.
Рекомендации по безопасности
Чтобы снизить риски, разработчикам рекомендуется:
- Тщательно проверять репутацию и надежность авторов перед установкой расширений.
- Использовать антивирусные решения для сканирования расширений на наличие вредоносного кода.
- Периодически проверять установленные расширения и удалять неиспользуемые.
Корпорация Майкрософт, которая разрабатывает VS Code, должна значительно ужесточить требования к проверке безопасности расширений перед публикацией в официальном магазине. Необходимо внедрить следующие меры:
- Тщательный анализ кода расширений на предмет наличия уязвимостей и вредоносных функций.
- Проверка репутации и надежности разработчиков расширений.
- Мониторинг поведения установленных расширений для выявления подозрительной активности.
Без значительного усиления контроля со стороны Майкрософт злоумышленники будут и дальше активно использовать популярность и доверие к экосистеме VS Code для распространения вредоносного ПО и кражи данных миллионов пользователей по всему миру.
Выводы
Эксперимент исследователей продемонстрировал серьезные недостатки системы проверки безопасности расширений для VS Code. Эта проблема заслуживает пристального внимания со стороны разработчиков и компаний, использующих VS Code в повседневной работе.
Без срочных мер по исправлению ситуации популярная платформа разработки приложений будет оставаться уязвимой для атак злоумышленников, что чревато масштабными инцидентами утечки данных и финансовыми потерями по всему миру.
