前回のブログ記事では、「3/6 | マイクロソフトへの手紙:Visual Studio Code拡張機能の設計上の欠陥を暴露」で、Visual Studio Code拡張機能とマーケットプレイスで見つけたセキュリティ設計上のすべての欠陥についてマイクロソフトに向けた手紙を取り上げました。
組織が現在このリスクを軽減する方法を提供するために、VSCode拡張機能のリスクを評価するのに役立つコミュニティツールを作成することに決めました。
しかし、私たちのソリューションを紹介する前に、VSCode拡張機能のリスクについて要約しましょう。
リスク
前回のリサーチブログで確認した通り、Visual Studio Code(VSCode)拡張機能は基本的に基礎的な境界がないまま設計されました。これらは任意のコードを実行でき、子プロセスを生成でき、制限なくシステムリソースにアクセスでき、権限モデルがないため、ユーザーは拡張機能が何を実行しているかについて全く見えません。さらに、VSCodeマーケットプレイスは最小限の管理のみがあり、悪質な拡張機能が開発者の信頼を得て露出しやすくなり、私たちのリサーチ拡張機能(最初のブログ記事で説明した通り)は、私たちの努力がほとんどないまま、数千の開発者と複数の時価総額が数十億ドルの企業(世界最大のサイバーセキュリティ企業の1つを含む)に到達しました。これらの問題は世界中の組織に大きな脅威を与えています。
ExtensionTotalは、VirusTotal、AppTotal、および他のPLGセキュリティツールにインスピレーションを受けた、私たちが作成したソリューションです。ExtensionTotalは、拡張機能の名前、ID、またはURLが与えられた場合、その拡張機能が悪質である可能性のあるリスクを評価できるウェブツールです。
拡張機能を解凍し、コードと依存関係に対する脆弱性チェックをサンドボックス環境で実行し、パブリッシャーの背景に関するデータを収集し、拡張機能が外部と通信しているかどうかを監視し、リークされたシークレットをチェックし、さらにはAIを使用したコード洞察を提供して、コードが何をするために構築されているかを理解します。
私たちはExtensionTotalを1ヶ月で構築し、皆さんと世界に共有できることを嬉しく思います。このツールが多少なりともセキュアな環境を作るのに役立つことを願っています。
どのように機能するのか?
ExtensionTotalはVisualStudio Codeマーケットプレイスにリストされている拡張機能を継続的に分析します。各拡張機能は解凍され、数百の属性が抽出され、充実し、リスクスコアに組み込まれます。
VSCodeマーケットプレイスでライブされているか、またはかつてライブされていた任意の拡張機能を検索でき、リスクスコア、検出結果、および拡張機能に関連するリスクの詳細を含む包括的なレポートを取得できます。
「Darcula」のレポートを探索してみましょう。これは、VSCode世界の脆弱性を評価するために当初作成したリサーチ拡張機能です。
レポートでは、この拡張機能のために計算したリスクスコア(高)、およびそのリスクスコアに至った主な検出結果を直ちに確認できます。
直ぐに2つの興味深い検出結果が目に付きます。最初のものは「拡張機能を偽装」であり、これは名前、ドメイン、説明、コードなどを比較して、この拡張機能と非常に似ている、より人気のあり古い拡張機能を見つけたことを意味しています。もう1つの危険信号は「テーマが実行コード」であり、VSCodeのテーマは通常JSONまたはYAMLファイルのみであるため、通常はコードを実行せず、この拡張機能にはコード活性化イベントとメインJSファイルがあります。
レポートをさらに深く掘り下げてみましょう。
このセクションでは、この拡張機能が外部世界と通信しているかどうか、および呼び出すVSCode APIはどれかについて、2つの興味深いことが見えます。ExtensionTotalが「Darcula」が「Retoolを使用」していることを発見した通り、テーマが見ることは奇妙であり、さらにそれは「workspace.openTextDocument」 APIにアクセスしており、VSCodeで開かれたソースコードを読むことができます。両方ともこの拡張機能がテーマのみであるため、警告を発する必要があります。
最後に、この特定の拡張機能のために、最後のセクションは拡張機能のコードのカスタムLLMベースの概要を提供し、潜在的な悪質な活動さえ強調します!
あなたの組織にインストールされている拡張機能を知っていますか?
ExtensionTotalを40以上の異なる検出結果と200以上のインジケーターで構築しました。ExtensionTotalは、VSCodeマーケットプレイスの非常にリスキーで興味深い拡張機能を検出して報告し、それをより良く、より安全な場所にするのに役立ちました。
このツールを組織の使用に有用にするために、各エンドポイントに展開することで、VSCodeにインストールされているすべての拡張機能をリストしたJamfスクリプトを作成し、ExtensionTotalを通じて実行して組織内のすべての拡張機能のリスクスコアを検出します。
さらに、VSCodeの拡張機能を実際に開発しました。これはインストールされているすべての拡張機能をリスキーな活動について継続的にスキャンし、見つかった場合にアラートを発します。VSCodeマーケットプレイスでそれをここで表示。
そして、私たちはVisual Studio Codeマーケットプレイスで実際にトレンディングしています!
今、私たちはどこへ向かっているのか?
ExtensionTotalを無料のコミュニティツールとして構築し、リサーチの結果として—
1/6 | 30分で偽造VSCode拡張機能を使用して数十億ドル規模の企業をハッキングする方法
2/6 | 悪質な拡張機能の公開:VS Codeマーケットプレイスからの衝撃的な統計
3/6 | マイクロソフトへの手紙:Visual Studio Code拡張機能の設計上の欠陥を暴露
過去1ヶ月間ExtensionTotalを構築するのを楽しみ、サイバーセキュリティ領域で興味深く、課題のある問題を見つけて、CISOたちがより安心して眠れるように支援することに取り組んでいます。
チャットをしたい場合は、ここで通話をスケジュールしてください。あなたがここに来た理由をもっと詳しく知りたいし、あなたのサイバーセキュリティの考えや夢について探索したいです。誰が知っているか、いつか私たちがあなたの夢を実現させるのに手伝うかもしれません。
シリーズの次のブログ記事を読む「5/6 | インターネットを破壊:私たちのリサーチの余波」。
翻訳元: https://www.koi.ai/blog/4-6-introducing-extensiontotal-how-to-assess-risk-in-vs-code-extensions
