また来ました。かなりバイラルになった最新のブログ投稿から数ヶ月が経ちました —「偽のVSCode拡張機能を使用して300億ドル規模の企業を30分でハッキングした方法」を投稿してから。もちろん、あなたがこれを読んでいるなら、もっと不安な情報を共有できることを推測しているはずです!ヤッホー。
Microsoft Visual Studio Codeは、世界で最も人気のあるIDEです。素晴らしく、Microsoftが行った仕事に敬意を表します。しかし、人気が出ると、良いことばかりではありません。
過去数ヶ月間、最新の研究ブログ以来、私たちはVSCode Marketplaceに対する数件の進行中のキャンペーンを検出しており、数千の組織に影響を与えています。
最初で最も巧妙なキャンペーンは、本物か、それともケーキか?から始まります。
ゲーム開始
ゲームをしましょう。以下は、Zoom VSCode拡張機能マーケットプレイスリストページのスクリーンショットです —
さて、教えてください。本物か、それともケーキか?
よく見ると、それが本物である多くの優れた指標が見られます。高いインストール数、公式Zoomのgithubレポジトリ、肯定的なレビューです。パブリッシャーページを見ると、さらに肯定的な補強が続きます —
ドメイン名は素晴らしく見え、公式サポートメールが含まれており、すべての公式ソーシャルメディアがあります。すべてが確認されています。
ただし、あなたが見ているのは、過去2ヶ月間VSCodeマーケットプレイスを苦しめてきた情報盗難キャンペーンです。それはケーキです。
拡張コードを難読化解除、研究、掘り下げると、ロシアベースのエンドポイントから.cmdファイルをダウンロードし、マシン上でこの.cmdファイルを実行する子プロセスを生成していることがわかります。悪いものです。
残念ながら、マーケットプレイスリストレベルでは、この拡張機能が非正当なものである可能性があることを示す唯一の指標は、パブリッシャーのドメインが検証されていないという事実です。悲しい部分は、VSCodeマーケットプレイスの拡張機能の7%未満に検証されたパブリッシャーがあり、最も人気があり広く使用されている拡張機能でさえ、ほとんどの場合検証されていません。したがって、この拡張機能が本物かケーキかを判断するためにこの指標に頼ることはできません。
これがキャンペーンだと言いましたが、何が起きていますか?
残念ながら、Zoomの例は唯一ではありません。過去2ヶ月間に6つ以上の類似したケースがありました。拡張機能は完全に本物に見えており、脅威アクターはインストールと評価を偽造しながら、感染したマシンでリモートコードを実行することができました。
総インストール数: 7,727,820 (一部のインストールは偽造された可能性がありますが、インストール率を見ると、少なくとも数千は感染していたことがわかります)
初回検出: 9月30日
これらはすべて同じキャンペーンからの最も人気のある拡張機能です:
Solidity for Ethereum Language — ExtensionTotalのリスクページへのリンク
Solidity (Ethereum) — ExtensionTotalのリスクページへのリンク
Zoom Workspace — ExtensionTotalのリスクページへのリンク
Zoom — ExtensionTotalのリスクページへのリンク
Blockchain-Toolkit — ExtensionTotalのリスクページへのリンク
特徴は非常に似ており、ExtensionTotalでは、マーケットプレイスに発行されるとすぐにリスクモデルのおかげでこれらのケーキ拡張機能をすべて100%の検出率で検出しています。
では、ケーキの他に何があるのでしょうか?
ケーキだけではありません。マーケットプレイスに影響を与えていた他の2つのあまり顕著ではないキャンペーンがありました。人気のある拡張機能をマスクしようとしていなかったが、代わりに開発者が望む可能性のある機能を持っているふりをしていた —
「498」という名前のパブリッシャーは、マーケットプレイスに4つの異なるマルウェア拡張機能を発行しました。これは10日以内に4,500人以上の開発者によってインストールされました。残念ながら、これはExtensionTotalで検出する非常に一般的な出来事です。マルウェア拡張機能は報告された後でも、Microsoftによって最終的に削除される数週間前はマーケットプレイスに残ります。これは、当社の製品を活用するすべてのエンタープライズ顧客に対して、当社のエンタープライズファイアウォール機能を通じてインストール数が少ない拡張機能のインストールを防止するポリシーを作成することをお勧めする理由の1つです。
このおよび同様のキャンペーンで検出されたいくつかのマルウェア拡張機能は以下の通りです —
VoiceMod — ExtensionTotalのリスクページへのリンク
Python Format + Lint: Formatter and … — ExtensionTotalのリスクページへのリンク
C++ Playground: Inline REPL, Compil… — ExtensionTotalのリスクページへのリンク
C/C++ Format: Astyle Code Formatter — ExtensionTotalのリスクページへのリンク
HTTP Format — Formatter for plaint … — ExtensionTotalのリスクページへのリンク
Better Psalm Docker VS Code — ExtensionTotalのリスクページへのリンク
総インストール数: 47,253
では結局のところ、どうすればいいのでしょうか?
ケーキを全部やめて、すべての拡張機能をブロックできます。その問題は、みんなケーキが好きだということです。すべての拡張機能をブロックすることは、組織の生産性を殺す確実な方法です。これはソフトウェアサプライチェーンの古典的な問題であり、大企業、VSCode、およびブラウザ、OSパッケージ、コードパッケージなどの他のソフトウェア提供チャネルで毎日会っています。セキュリティと生産性のバランスをどのように取るのでしょうか?私たちはExtensionTotalを構築して、まさにそのためにプラクティショナーとエンタープライズ向けに構築しました。
Fortune 100s、500s、防衛技術企業に信頼されているExtensionTotalは、セキュリティプロセスを自動化し、可視性、ガバナンス、プロアクティブなリスクを提供して、この攻撃面を削減およびバランスします。
チャットしたい場合は、ここに連絡してください🤙
— Amit Assaraf、CEO
翻訳元: https://www.koi.ai/blog/vscode-extension-trivia-real-or-cake
