Visual Studio Code (VS Code) – один із найпопулярніших редакторів коду у світі. Його щомісячна аудиторія налічує понад 15 мільйонів розробників. Для розширення функціональності VS Code пропонує безліч додаткових розширень, доступних у спеціальному магазині VS Code Marketplace.
Експеримент: як створити і поширити шкідливе розширення
Щоб виявити недоліки системи безпеки розширень VS Code, команда експертів з кібербезпеки провела показовий експеримент. Вони створили модифіковану версію відомого розширення Dracula Theme, у код якого впровадили шкідливий функціонал для збору інформації про систему користувача і передачі цих даних на підконтрольний дослідникам сервер.
Створений як експеримент підроблений плагін одразу став популярним - його встановило чимало організацій, серед яких опинилися і фірми з капіталізацією в півмільярда доларів. Результати експерименту продемонстрували, з якою легкістю зловмисники можуть поширювати шкідливе ПЗ, маскуючи його під популярні розширення VS Code.
Масштаб проблеми: мільйони небезпечних розширень
Стурбовані результатами експерименту, експерти вирішили провести масштабний аудит безпеки плагінів, представлених у VS Code Marketplace. Отримані дані виявилися вкрай тривожними:
- У 1283 плагінах знайшли шкідливі "вкраплення". Ці плагіни встановили 229 мільйонів разів.
- 8161 плагін з'єднується з одними й тими самими IP-адресами.
- 1452 розширення запускають на комп'ютері користувача незрозумілі файли з розширенням exe.
Ці цифри явно вказують на недостатність діючих механізмів контролю якості та безпеки плагінів для VS Code. Ситуація, що склалася, створює серйозні ризики для величезної кількості програмістів по всьому світу, які покладаються на це популярне середовище розробки.
Рекомендації з безпеки
Щоб знизити ризики, розробникам рекомендується:
- Ретельно перевіряти репутацію та надійність авторів перед встановленням розширень.
- Використовувати антивірусні рішення для сканування розширень на наявність шкідливого коду.
- Періодично перевіряти встановлені розширення і видаляти невикористовувані.
Корпорація Майкрософт, яка розробляє VS Code, повинна значно посилити вимоги до перевірки безпеки розширень перед публікацією в офіційному магазині. Необхідно впровадити такі заходи:
- Ретельний аналіз коду розширень на предмет наявності вразливостей і шкідливих функцій.
- Перевірка репутації та надійності розробників розширень.
- Моніторинг поведінки встановлених розширень для виявлення підозрілої активності.
Без значного посилення контролю з боку Майкрософт зловмисники й надалі активно використовуватимуть популярність і довіру до екосистеми VS Code для поширення шкідливого ПЗ і крадіжки даних мільйонів користувачів по всьому світу.
Висновки
Експеримент дослідників продемонстрував серйозні недоліки системи перевірки безпеки розширень для VS Code. Ця проблема заслуговує на пильну увагу з боку розробників і компаній, що використовують VS Code у повсякденній роботі.
Без термінових заходів щодо виправлення ситуації популярна платформа розробки додатків залишатиметься вразливою для атак зловмисників, що загрожує масштабними інцидентами витоку даних і фінансовими втратами по всьому світу.
