网站搜索

每个 VSCode 用户都需要警惕恶意扩展

要点

  • 恶意 VSC 扩展冒充流行的扩展并构成数据盗窃威胁,例如 PII 或加入僵尸网络。
  • 最近的研究揭示了恶意 VSC 扩展的惊人统计数据,其中一些包括恶意软件和使用硬编码 IP。
  • Microsoft 在 VSC 市场上采取了安全措施,但传统的 EDR 无法检测到所有恶意活动。要小心。

如果扩展能够正常工作并且扩展存储中没有充满看不见的危险,那么使用扩展来扩展您喜爱的程序的功能是非常棒的。

这正是 Microsoft 的 Visual Studio Code 扩展商店所发生的情况,由于缺乏关注,大量恶意扩展正在等待您点击并安装。

什么是恶意 VSC 扩展?

恶意 VSC 扩展名副其实。这些扩展通常会冒充其他更流行的扩展,或者承诺添加新功能来促使人们安装它们。一旦安装并激活,它们就可以做任何事情,从搞乱您的 VSC 设置到窃取您计算机上的数据。

VSC 扩展本身并不是这里的问题。添加扩展以进一步增强 VSC 实用性的能力使其成为最受欢迎的代码编辑器之一。然而,由于已安装的扩展通常可以不受限制地访问您的 VSC 安装,并在某种程度上访问您的 PC,因此它们也成为攻击者将恶意软件植入您的 PC 的完美媒介。在诈骗者甚至可以利用您的脸部进行欺诈的世界中,最好保持谨慎。

这些恶意扩展可以是任何东西,从可以从您的计算机窃取个人身份信息 (PII) 的简单数据窃取程序,到使您的计算机成为用于执行 DDoS 攻击或进一步传播恶意软件的僵尸网络的一部分。此外,随着供应链攻击变得越来越流行,它们也为更严重的恶意软件检查打开了大门,特别是考虑到许多 VSC 安装在程序员为各自组织工作时使用的与工作相关的设备上。

安全研究人员 Amit Assaraf、Itay Kruk 和 Idan Dardikman 深入研究 VSC 市场上的恶意扩展,发现了一些有趣的统计数据:

  • 1,283 个扩展(总安装量为 2.29 亿)包含已知的恶意依赖项。
  • 87 个扩展尝试读取主机系统上的 /etc/passwd 文件。该文件保存系统密码和其他敏感信息。
  • 8,161 个分机与硬编码的 IP 地址进行通信。
  • 1,452 个扩展在主机上运行未知的可执行二进制文件或 DLL。
  • 267 扩展程序中嵌入了硬编码的秘密。
  • VirusTotal 高度可信地标记了 145 个扩展的代码和依赖项。
  • 2,304 个扩展正在使用另一个发布者的 GitHub 存储库作为其官方存储库。
  • 783 个扩展被发现使用第三方 AI 模型。

虽然这些数字并不一定表明所包含的每个扩展都存在恶意活动,但它们引起了足够的怀疑,让任何人在安装它们之前三思而后行。

安全研究人员 Ilay Goldman 和 Yakir Kadkoda 之前为 AquaSec 发布的一份报告发现了类似的模式,恶意扩展隐藏为常规扩展的重复项。例如,在下图中,左侧的详细信息属于真实扩展程序,而右侧的详细信息来自试图模仿原始扩展程序的恶意扩展程序。

该图片还完美地说明了为什么 VSC 市场上的恶意软件是一个问题。几乎任何人都可以上传扩展并将其信息指向任何他们想要的地方,无论是虚假的还是恶意的。

恶意扩展如何出现在 VSC 市场上?

恶意扩展可以通过多种方式出现在 VSC 市场上。然而,最常见的两种方法如下。

误植

域名仿冒是一种攻击者使用常用程序(或者在本例中为扩展程序)的拼写错误来传播假冒内容的技术。例如,如果您正在寻找名为“Programmer”的扩展程序,仿冒者可能会创建一个名为“Programmerr”或“Programer”的恶意扩展程序,并诱骗您下载它,以为您正在获得所需的扩展程序。

这些通常装载有数据窃取程序或其他恶意软件,可能会对您的电脑造成严重损害。这是一个无心的错误,我们每个人都会偶尔犯一次,但它也会让你付出高昂的代价。

假扩展名

顾名思义,这些扩展要么承诺虚假功能,要么冒充其他更流行的扩展来让您安装它们。安装后,它们要么完全不起作用,要么确实提供了一些功能,但主要专注于控制您的电脑或窃取数据。

这是传播恶意软件的一种相当流行的方式,诈骗者经常使用拥有经过验证的帐户的大公司的名称,以使他们的恶意软件更具合法性。甚至 Google Bard 应用程序也使用相同的方法作为恶意软件进行分发。

为什么微软不对恶意扩展采取措施?

Microsoft 在 VSC 扩展市场上实施了多项安全措施,以确保恶意扩展受到检查。上传到市场的每个扩展及其后续更新都会经过病毒扫描,以确保该软件包可以安全使用。该市场还具有拼写错误对策,以防止恶意扩展冒充 RedHat 和 Microsoft 等官方发行商。

此外,如果报告并验证了恶意扩展,或者在扩展依赖项中发现了漏洞,则会将其从市场中删除或添加到杀掉列表中,以便 VSC 自动卸载。

然而,尽管采取了这些对策,恶意扩展仍然在市场上猖獗。其背后的主要原因是 Microsoft 的传统端点安全工具 (EDR) 无法检测所有恶意活动。

VSC 的性质在这里也发挥着重要作用。 VSC 旨在打开各种文件、执行各种命令以及创建子进程。因此,EDR 无法始终了解 VSC 扫描的活动是合法的开发人员活动还是恶意代码。

如何保持安全

除了常识并确保您下载的是经过验证的官方发行商发布的扩展之外,您还可以参考 VSC 市场上的评级和评论系统。此外,您还可以在安装之前使用 ExtensionTotal 工具分析扩展,并获取安装是否安全的报告。

VSC 市场上仍然有许多误导性和有害的扩展可供下载。然而,从长远来看,在单击下载按钮之前进行一些背景研究可以为您省去很多麻烦。

相关文章