Des chercheurs en scurit rvlent que Visual Studio Code Marketplace contient des milliers d’extensions malveillantes qui peuvent facilement se propager et comptabiliser plusieurs millions d’installations en quelques jours. L’quipe a mis au point sa propre extension malveillante, l’a distribu sur Marketplace et a russi infecter plus d’une centaine d’utilisateurs et d’entreprises en un petit laps de temps. Parmi les victimes figuraient une grande socit cote en bourse de plusieurs milliards de dollars, des fournisseurs de services de scurit et un systme judiciaire gouvernemental. Cette propagation serait lie aux lacunes de VS Code en matire de scurit.
Visual Studio Code (VS Code) est un diteur de code source dvelopp par Microsoft et utilis par de nombreux dveloppeurs de logiciels professionnels dans le monde entier. VS Code possde un magasin d’extensions (Marketplace) qui propose des modules complmentaires qui tendent les fonctionnalits de l’application et offrent davantage d’options de personnalisation. Mais Marketplace est connu pour ses problmes de scurit. Selon plusieurs rapports antrieurs, ces lacunes favorisent l’usurpation d’identit des extensions et des diteurs, ainsi que des extensions qui volent les jetons d’authentification des dveloppeurs.
Il y a galement eu des dcouvertes dans la nature qui ont t confirmes comme tant malveillantes. Plus rcemment, une quipe de chercheurs israliens en cyberscurit (Amit Assaraf, Itay Kruk et Idan Dardikman) a mis l’preuve la scurit de Marketplace et a russi infecter plus d’une centaine d’organisations en crant un cheval de Troie du thme populaire « Dracula Official » pour y inclure un code risque. En outre, des recherches plus approfondies menes par l’quipe ont permis de dcouvrir des milliers d’extensions malveillantes avec des millions d’installations, suscitant de nombreuses proccupations.
Ajout d’un code malveillant l’extension Darcula
L’extension « Dracula Official » permet aux dveloppeurs d’ajouter un mode sombre trs net aux applications. Elle est utilise par un grand nombre de dveloppeurs en raison de son mode sombre visuellement attrayant et de sa palette de couleurs fort contraste, qui est agrable pour les yeux et permet de rduire la fatigue oculaire pendant les longues sessions de codage. Mais la fausse extension utilise dans la recherche a t baptise « Darcula », et les chercheurs ont mme enregistr un domaine correspondant « darculatheme.com ». Ce domaine a permis l’quipe de se faire passer pour un diteur vrifi sur Marketplace.
Ce qui a ajout de la crdibilit l’extension malveillante. Leur extension utilise le code du thme Darcula lgitime, mais inclut galement un script supplmentaire qui collecte des informations sur le systme, notamment le nom d’hte, le nombre d’extensions installes, le nom de domaine de l’appareil et la plateforme du systme d’exploitation, et les envoie un serveur distant par le biais d’une requte HTTPS POST. Cette extension malveillante a ensuite pu se propager facilement et infecter plus d’une centaine d’utilisateurs, car Microsoft l’a marque comme « lgitime » en tablissant un lien avec le site Web « darculatheme.com ».
Les chercheurs notent que le code malveillant n’est pas repr par les outils de dtection et de rponse des points finaux (Endpoint Detection and Response – EDR), car VS Code est trait avec un peu d’indulgence en raison de sa nature de systme de dveloppement et de test. Les outils EDR sont des outils conus pour identifier et attnuer automatiquement les menaces au niveau du point final, c’est–dire sur l’appareil de l’utilisateur final. Pour ce faire, ils surveillent en permanence les points de terminaison, collectent des analyses de donnes et utilisent des rponses et des analyses automatises bases sur des rgles.
Amit Assaraf, coauteur de l’tude, explique : malheureusement, les outils EDR traditionnels ne dtectent pas cette activit (comme nous avons montr des exemples de RCE pour certaines organisations au cours du processus de divulgation responsable). VS Code a t construit pour lire de nombreux fichiers et excuter de nombreuses commandes et crer des processus enfants, de sorte que les outils EDR ne peuvent pas comprendre si l’activit de VS Code est une activit de dveloppement lgitime ou une extension malveillante . Et mme les infrastructures prives de scurit n’ont pu rien faire contre cette extension.
L’extension a rapidement gagn en popularit, tant installe par erreur par de nombreuses cibles de grande valeur, dont une entreprise cote en bourse avec une capitalisation boursire de 483 milliards de dollars, d’importantes entreprises de scurit et un rseau national de cours de justice. Les chercheurs ont choisi de ne pas divulguer les noms des entreprises concernes. L’tude n’ayant pas un but malveillant, les chercheurs n’ont recueilli que des informations d’identification et ont inclus une divulgation dans le fichier readme, la licence et le code de l’extension. Dans un billet de blogue, Assaraf a crit :
30 minutes. 30 minutes, c’est le temps qu’il nous a fallu pour dvelopper, publier et peaufiner une extension Visual Studio Code (l’EDI le plus populaire de la plante avec plus de 15 millions d’utilisateurs mensuels) qui change les couleurs de votre EDI tout en laissant fuir tout votre code source vers un serveur distant. Nous avons crit le code, conu les actifs, enregistr un domaine, publi l’extension, gnr de fausses critiques, fait notre premire victime, atteint le statut de tendance sur VS Code Marketplace (une page qui reoit 4,5 millions de vues par mois), et eu la confirmation qu’elle a t installe au sein de plusieurs entreprises la capitalisation boursire de plusieurs milliards de dollars, le tout en moins de 30 minutes de travail.
Malgr les infrastructures « scurises » mises en place par ces entreprises cots de plusieurs millions de dollars, 30 minutes ont suffi pour contourner les environnements de scurit sophistiqus. Aprs cette exprience russie, l’quipe a dcid de se plonger dans le paysage des menaces de Marketplace, en utilisant un outil personnalis qu’ils ont dvelopp. Appel « ExtensionTotal », cet outil a t utilis par les chercheurs pour trouver les extensions haut risque, les dcompresser et examiner minutieusement les extraits de code suspects. Grce ce processus, ils ont trouv les lments suivants :
- 1 283 extensions qui contiennent un code malveillant connu (229 millions d’installations) ;
- 8 161 extensions qui communiquent avec des adresses IP codes en dur ;
- 1 452 extensions qui excutent des excutables inconnus ;
- 2 304 extensions qui utilisent le rfrentiel Github d’un autre diteur, ce qui indique qu’il s’agit d’un copieur.
L’quipe s’est dite trs proccupe par le manque de contrle de Microsoft sur le code des extensions disponibles sur Marketplace. L’absence de contrles rigoureux et de mcanismes d’examen du code des extensions de Marketplace permet aux acteurs de la menace d’abuser de la plateforme, et cela s’aggrave au fur et mesure que la plateforme est de plus en plus utilise. Comme vous pouvez le constater par les chiffres, il y a une plthore d’extensions qui prsentent des risques pour les organisations sur Visual Studio Code Marketplace , a crit l’quipe. Ce problme reprsente une menace directe pour les organisations.
Localisation des victimes 24 heures aprs la publication de Darcula sur VS Code Marketplace
Selon les chercheurs, toutes les extensions malveillantes dtectes par les chercheurs ont t signales de manire responsable Microsoft en vue de leur suppression. Toutefois, dimanche, la grande majorit d’entre elles pouvaient encore tre tlcharges via Marketplace. L’quipe prvoit de publier son outil « ExtensionTotal » ainsi que des dtails sur ses capacits oprationnelles au cours de cette semaine, en le diffusant en tant qu’outil gratuit pour aider les dveloppeurs analyser leurs environnements la recherche de menaces. Microsoft n’a pas comment les conclusions du rapport des chercheurs israliens.
Source : billet de blogue
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la prolifration des extensions malveillantes sur VS Code Marketplace ?
Pourquoi l’diteur de code le plus utilis au monde comporte-t-il autant de lacunes en matire de scurit ?
Voir aussi