Mọi người dùng VSCode đều cần đề phòng các extension độc hại!

Việc mở rộng chức năng của các chương trình yêu thích bằng extension là điều tuyệt vời, nếu extension hoạt động bình thường và kho extension không chứa đầy những mối nguy hiểm tiềm ẩn.

Đó chính xác là những gì đã xảy ra với kho extension Visual Studio Code của Microsoft, nơi hàng đống extension độc hại đang chờ bạn nhấp và cài đặt nếu thiếu chú ý.

Extension VSC độc hại là gì?

Các extension VSC độc hại thường mạo danh các extension khác, phổ biến hơn hoặc hứa hẹn thêm chức năng mới để thúc đẩy mọi người cài đặt chúng. Sau khi được cài đặt và kích hoạt, chúng có thể làm bất cứ điều gì từ làm xáo trộn cài đặt VSC đến đánh cắp dữ liệu từ máy tính.

Bản thân các extension VSC không phải là vấn đề. Khả năng thêm các extension để nâng cao hơn nữa tiện ích của VSC là điều khiến nó trở thành một trong những trình soạn thảo code phổ biến nhất hiện nay. Tuy nhiên, vì các extension đã cài đặt thường có quyền truy cập không hạn chế vào bản cài đặt VSC và ở một mức độ nào đó vào PC, điều này cũng khiến chúng trở thành phương tiện hoàn hảo để kẻ tấn công đưa một phần mềm độc hại vào PC của bạn. Trong một thế giới mà những kẻ lừa đảo thậm chí có thể sử dụng khuôn mặt của bạn để thực hiện hành vi lừa đảo, tốt nhất nên thận trọng.

Các extension độc hại này có thể là bất kỳ thứ gì, từ công cụ đánh cắp dữ liệu đơn giản có thể lấy cắp Thông tin nhận dạng cá nhân (PII) từ máy tính đến biến máy thành một phần của mạng botnet được sử dụng để thực hiện các cuộc tấn công DDoS hoặc phát tán phần mềm độc hại. Ngoài ra, khi các cuộc tấn công chuỗi cung ứng ngày càng trở nên phổ biến, chúng cũng mở ra cơ hội cho việc kiểm tra phần mềm độc hại nghiêm trọng hơn nhiều, đặc biệt khi xem xét nhiều cài đặt VSC trên các thiết bị liên quan đến công việc mà những lập trình viên sử dụng khi làm việc cho các tổ chức tương ứng.

Các nhà nghiên cứu bảo mật Amit Assaraf, Itay Kruk và Idan Dardikman đi sâu vào những extension độc hại trên thị trường VSC đã tiết lộ một số thống kê thú vị:

  • 1.283 extension với tổng số 229 triệu lượt cài đặt bao gồm các dependency độc hại đã biết.
  • 87 extension đã cố đọc file /etc/passwd trên hệ thống máy chủ. File này lưu mật khẩu hệ thống và các thông tin nhạy cảm khác.
  • 8.161 extension giao tiếp bằng địa chỉ IP được hardcode.
  • 1.452 extension chạy file nhị phân hoặc DLL thực thi không xác định trên máy chủ.
  • 267 có các bí mật đã hardcode được nhúng vào chúng.
  • Code và dependency của 145 extension đã được VirusTotal xác nhận có độ tin cậy cao.
  • 2.304 extension đang sử dụng kho lưu trữ GitHub của nhà xuất bản khác làm kho lưu trữ chính thức của mình.
  • 783 extension được phát hiện sử dụng mô hình AI của bên thứ ba.

Mặc dù những con số này không nhất thiết chỉ ra hoạt động độc hại của mọi extension được bao gồm, nhưng chúng gây ra đủ nghi ngờ để khiến bất kỳ ai cũng phải suy nghĩ kỹ trước khi cài đặt chúng.

Một báo cáo trước đây của các nhà nghiên cứu bảo mật Ilay Goldman và Yakir Kadkoda cho AquaSec đã tìm thấy những mô hình tương tự, với các extension độc hại ẩn dưới dạng bản sao của những extension thông thường. Ví dụ, trong hình ảnh bên dưới, chi tiết bên trái thuộc về extension thực, trong khi chi tiết bên phải là của extension độc hại đang cố gắng bắt chước tiện ích gốc.

Ví dụ về extension độc hại VSCode
Ví dụ về extension độc hại VSCode

Hình ảnh này cũng minh họa hoàn hảo lý do tại sao phần mềm độc hại trên thị trường VSC lại là một vấn đề. Hầu như bất kỳ ai cũng có thể upload lên extension và trỏ thông tin của nó đến bất cứ nơi nào họ muốn, dù đó là thông tin sai lệch hay độc hại.

Các extension độc hại xuất hiện trên VSC Marketplace như thế nào?

Có một số cách mà extension độc hại có thể xuất hiện trên thị trường VSC. Tuy nhiên, có hai phương pháp phổ biến nhất như sau.

Typosquatting

Typosquatting là một kỹ thuật trong đó kẻ tấn công sử dụng lỗi chính tả của một chương trình được sử dụng phổ biến hoặc trong trường hợp này là một extension để phát tán một chương trình giả mạo. Ví dụ, nếu bạn đang tìm kiếm một extension có tên "Programmer", kẻ xấu có thể tạo một extension độc hại có tên "Programmerr" hoặc "Programer" và lừa bạn tải xuống tiện ích đó.

Chúng thường chứa các phần mềm đánh cắp dữ liệu hoặc phần mềm độc hại khác và có thể gây hại nghiêm trọng cho PC. Đó thực sự là một sai lầm mà ai trong chúng ta đôi khi cũng có thể mắc phải và khiến ta phải trả giá đắt.

Extension giả mạo

Đúng như tên gọi, các extension này hứa hẹn chức năng giả mạo hoặc mạo danh những extension khác, phổ biến hơn để khiến bạn cài đặt chúng. Sau khi được cài đặt, chúng rõ ràng là không hoạt động hoặc cung cấp một số chức năng trong khi chủ yếu tập trung vào việc kiểm soát PC hoặc đánh cắp dữ liệu.

Đây là một cách phát tán phần mềm độc hại khá phổ biến và những kẻ lừa đảo thường sử dụng tên của các tập đoàn lớn có tài khoản đã được xác minh để khiến phần mềm độc hại của chúng trở nên hợp pháp. Ngay cả ứng dụng Google Bard cũng được phân phối dưới dạng phần mềm độc hại bằng cách sử dụng cách tiếp cận tương tự.

Thứ Năm, 20/06/2024 10:02
31 👨 214
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng