.
Principais conclusões
- Extensões VSC maliciosas se fazem passar por extensões populares e representam ameaças de roubo de dados, como PII ou adesão a botnets.
- Uma pesquisa recente revelou estatísticas alarmantes sobre extensões VSC maliciosas, algumas incluindo malware e usando IPs codificados.
- A Microsoft possui medidas de segurança no mercado VSC, mas os EDRs tradicionais não conseguem detectar todas as atividades maliciosas. Tem cuidado.
Estender a funcionalidade de seus programas favoritos com extensões é ótimo – se as extensões funcionarem corretamente e o armazenamento de extensões não estiver cheio de perigos invisíveis.
Foi exatamente isso que aconteceu com o armazenamento de extensões do Visual Studio Code da Microsoft, onde, por falta de atenção, um monte de extensões maliciosas estão esperando você clicar e instalar.
O que são extensões VSC maliciosas?
Extensões VSC maliciosas são exatamente o que parecem. Essas extensões geralmente personificam outras extensões mais populares ou prometem adicionar novas funcionalidades que levam as pessoas a instalá-las. Uma vez instalados e ativados, eles podem fazer qualquer coisa, desde bagunçar as configurações do VSC até roubar dados do seu computador.
As extensões VSC em si não são o problema aqui. A capacidade de adicionar extensões para aprimorar ainda mais a utilidade do VSC é o que o torna um dos editores de código mais populares do mercado. No entanto, como as extensões instaladas geralmente obtêm acesso irrestrito à instalação do VSC e, até certo ponto, ao seu PC, isso também as torna o meio perfeito para invasores inserirem um malware em seu PC. Em um mundo onde os golpistas podem até usar seu rosto para cometer fraudes, é melhor permanecer cauteloso.
Essas extensões maliciosas podem ser qualquer coisa, desde um simples ladrão de dados que pode roubar informações de identificação pessoal (PII) do seu computador até tornar sua máquina parte de uma botnet usada para realizar ataques DDoS ou propagar malware ainda mais. Além disso, com os ataques à cadeia de abastecimento a tornarem-se cada vez mais populares, também abrem a porta a inspeções de malware muito mais sérias, especialmente considerando que muitas instalações de VSC estão em dispositivos relacionados com o trabalho que os programadores utilizam quando trabalham para as suas respetivas organizações.
Os pesquisadores de segurança Amit Assaraf, Itay Kruk e Idan Dardikman se aprofundaram nas extensões maliciosas no mercado VSC e revelaram algumas estatísticas interessantes:
- 1.283 extensões com um total combinado de 229 milhões de instalações incluem dependências maliciosas conhecidas.
- 87 extensões tentaram ler o
/etc/passwdarquivo no sistema host. Este arquivo salva senhas do sistema e outras informações confidenciais. - 8.161 ramais se comunicam com um endereço IP codificado.
- 1.452 extensões executam um binário executável desconhecido ou DLL na máquina host.
- 267 extensões possuem segredos codificados embutidos nelas.
- O código e as dependências de 145 extensões foram sinalizados com alta confiança pelo VirusTotal.
- 2.304 extensões estão usando o repositório GitHub de outro editor como repositório oficial.
- Foram encontradas 783 extensões que usam modelos de IA de terceiros.
Embora esses números não indiquem necessariamente atividade maliciosa por parte de cada extensão incluída, eles levantam suspeitas suficientes para fazer qualquer um pensar duas vezes antes de instalá-los.
Um relatório anterior dos pesquisadores de segurança Ilay Goldman e Yakir Kadkoda da AquaSec encontrou padrões semelhantes, com extensões maliciosas escondidas como duplicatas de extensões regulares. Por exemplo, na imagem abaixo, os detalhes à esquerda pertencem à extensão real, enquanto os detalhes à direita são de uma extensão maliciosa que tenta imitar o original.
A imagem também ilustra perfeitamente por que o malware no mercado VSC é um problema. Quase qualquer pessoa pode fazer upload de uma extensão e apontar suas informações para onde quiser, sejam elas falsas ou maliciosas.
Como as extensões maliciosas acabam no VSC Marketplace?
Existem várias maneiras pelas quais uma extensão maliciosa pode acabar no mercado VSC. No entanto, os dois métodos mais comuns são os seguintes.
Typosquatting
Typosquatting é uma técnica em que um invasor usa erros ortográficos de um programa popularmente usado ou, neste caso, uma extensão, para espalhar uma falsificação. Por exemplo, se você estiver procurando por uma extensão chamada “Programador”, um typosquatter pode criar uma extensão maliciosa com o nome “Programmerr” ou “Programador” e induzi-lo a baixá-la pensando que está obtendo a extensão desejada.
Muitas vezes, eles são carregados com ladrões de dados ou outros malwares e podem causar sérios danos ao seu PC. É um erro honesto, que cada um de nós pode cometer de vez em quando, mas também pode custar caro.
Extensões Falsas
Como o nome sugere, essas extensões prometem funcionalidades falsas ou se fazem passar por outras extensões mais populares para que você as instale. Uma vez instalados, eles são flagrantemente não funcionais ou fornecem alguma funcionalidade, concentrando-se principalmente em assumir o controle do seu PC ou roubar dados.
Esta é uma forma bastante popular de espalhar malware, e os golpistas costumam usar nomes de grandes corporações com contas verificadas para dar mais legitimidade ao seu malware. Até o aplicativo Google Bard foi distribuído como malware usando a mesma abordagem.
Por que a Microsoft não faz nada em relação às extensões maliciosas?
A Microsoft implementou várias medidas de segurança no VSC Extensions Marketplace para garantir que extensões maliciosas permaneçam sob controle. Cada extensão e suas atualizações subsequentes carregadas no mercado passam por uma verificação de vírus para garantir que o uso do pacote seja seguro. O mercado também possui contramedidas de typosquatting para evitar que extensões maliciosas se passem por editores oficiais como RedHat e a própria Microsoft.
Além disso, se uma extensão maliciosa for relatada e verificada, ou uma vulnerabilidade for encontrada em uma dependência de extensão, ela será removida do mercado ou adicionada a uma lista de eliminação para ser desinstalada automaticamente pelo VSC.
No entanto, apesar destas contramedidas, as extensões maliciosas ainda são abundantes no mercado. A principal razão por trás disso é que as ferramentas tradicionais de segurança de endpoint (EDRs) da Microsoft não detectam todas as atividades maliciosas.
A natureza do VSC também desempenha um papel importante aqui. O VSC foi desenvolvido para abrir todos os tipos de arquivos, executar vários comandos e criar processos filhos. Conseqüentemente, os EDRs nem sempre conseguem entender se a atividade verificada do VSC é uma atividade legítima de desenvolvedor ou código malicioso.
Como ficar seguro
Além do bom senso e de garantir que você está baixando uma extensão publicada por um editor verificado e oficial, você pode consultar o sistema de classificação e comentários no mercado VSC. Além disso, você também pode usar a ferramenta ExtensionTotal para analisar extensões antes de instalar e obter um relatório sobre se é ou não seguro instalar.
Existem muitas extensões enganosas e prejudiciais ainda disponíveis para download no mercado VSC. No entanto, um pouco de pesquisa antes de clicar no botão de download pode evitar muitos problemas a longo prazo.
.
