VSCode Marketplace, un référentiel pour les extensions de Visual Studio Code (VSC), a de faibles défenses de sécurité, permettant aux acteurs de la menace d’en abuser et de distribuer du code malveillant parmi les millions de ses utilisateurs, ont averti les experts.
Un rapport d’AquaSec a testé la plate-forme et a conclu qu’en abuser pour distribuer des logiciels malveillants (s’ouvre dans un nouvel onglet) était ridiculement facile.
De plus, les chercheurs affirment qu’ils n’étaient pas les premiers à repérer les failles – certains acteurs de la menace étaient déjà actifs.
Usurpation de détails importants
Dans un article de blog (s’ouvre dans un nouvel onglet)l’équipe d’AquaSec a expliqué comment elle avait tenté de télécharger une version malveillante et typosquattée d’une extension populaire avec 27 millions de téléchargements.
Il s’est rendu compte que le logiciel malveillant n’avait même pas besoin d’être typosquatté – la plate-forme dispose d’une fonctionnalité appelée « displayName » permettant aux auteurs de nommer leurs extensions comme ils le souhaitent – le nom n’a pas besoin d’être unique. Ainsi, ils l’ont nommé exactement de la même manière que le légitime.
Ensuite, ils ont réalisé qu’ils pouvaient également utiliser le même logo et la même description que le projet légitime.
De plus, les détails, alors qu’ils sont extraits de GitHub, peuvent être modifiés ultérieurement. Cela signifie que les attaquants peuvent facilement usurper les détails du projet et présenter le logiciel malveillant comme un outil légitime avec un long historique de développement. La seule chose qui ne pouvait pas être usurpée était le nombre de téléchargements et le classement de la recherche.
« Cependant, au fil du temps, un nombre croissant d’utilisateurs ignorants auront téléchargé notre fausse extension. Au fur et à mesure que ces chiffres augmenteront, l’extension gagnera en crédibilité », a déclaré AquaSec. « De plus, étant donné que sur le dark web, il est possible d’acheter divers services, un attaquant extrêmement déterminé pourrait potentiellement manipuler ces chiffres en achetant des services qui gonfleraient le nombre de téléchargements et d’étoiles. »
AquaSec a également examiné le badge de vérification sur VSCode Marketplace et a conclu que la fonctionnalité n’a pas de sens, car toute publication avec un domaine acheté en obtient un, quelle que soit la pertinence du domaine pour le projet logiciel.
Alors que les chercheurs n’ont fait qu’une preuve de concept, ils ont également trouvé un véritable code malveillant caché dans le magasin. Ceux-ci sont nommés « API Generator Plugin » et « code tester ».
Visual Studio Code est l’éditeur de code source de Microsoft, utilisé par environ 70 % des développeurs de logiciels professionnels dans le monde, selon BipOrdinateur. Les extensions peuvent être utilisées pour installer des programmes supplémentaires, voler le code source ou le modifier d’une autre manière dans l’IDE VSCode.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)