Forscher haben einen Anstieg bösartiger Aktivitäten auf dem VSCode Marketplace festgestellt, was die Anfälligkeit der Plattform für Angriffe auf die Lieferkette, ähnlich denen, die zuvor in der npm-Community beobachtet wurden, unterstreicht.
Böswillige Akteure nutzen zunehmend npm-Pakete aus, um bösartigen Code zu verbreiten. Dies spiegelt die Taktiken wider, die zuvor in VSCode-Erweiterungen mit dem npm-Paket etherscancontracthandler verwendet wurden, was diese sich entwickelnde Bedrohung verdeutlicht und die Notwendigkeit der Wachsamkeit in beiden Ökosystemen unterstreicht.
VSCode-Erweiterungen, die mit Node.js und npm-Paketen erstellt werden, können Schwachstellen verursachen, da sie möglicherweise kompromittierte npm-Abhängigkeiten enthalten.
Erweiterungen gelten zwar oft als sicher, aber ihre Abhängigkeit von externen Paketen macht sie zu einem potenziellen Angriffsvektor.
Bösartige npm-Pakete, die möglicherweise in VSCode installiert werden, können lokale Entwicklungsumgebungen kompromittieren, was das Risiko von Angriffen in der Lieferkette und die Notwendigkeit strenger Sicherheitsprüfungen von Paketen verdeutlicht.
Kostenloses Webinar über Best Practices für API-Schwachstellen und Penetrationstests: Kostenlose Registrierung
Im Oktober 2024 tauchte eine Kampagne mit 18 bösartigen VSCode-Erweiterungen mit Downloader-Funktionalität auf.
Eine ausgeklügelte Phishing-Kampagne zum Thema Kryptowährungen entwickelte sich zu einem gezielten Angriff auf Zoom-Nutzer, da bösartige Browsererweiterungen entwickelt wurden, die als legitime Tools getarnt waren, um die Opfer zur Installation von Malware zu verleiten, die betrügerische Taktiken wie aufgeblasene Downloadzahlen und gefälschte Bewertungen einsetzte, um die Glaubwürdigkeit zu erhöhen.
Die bösartigen Erweiterungen, die als Solidity Language-Unterstützung für Visual Studio Code getarnt waren, verwendeten JavaScript Obfuscator, um ein einfaches Skript zu verbergen, das eine Nutzlast der zweiten Stufe von verschiedenen Domänen herunterlud, darunter auch scheinbar legitime Domänen wie Microsoft und CaptchaCDN, um Benutzer zu täuschen.
Ein bösartiges npm-Paket, etherscancontracthandler, wurde von einem Bedrohungsakteur veröffentlicht, der es auf die Krypto-Community abgesehen hat. Es ähnelt bösartigen VSCode-Erweiterungen und lud eine sekundäre Nutzlast von bestimmten Domänen herunter, indem es einen einheitlichen String-Identifikator verwendete.
Es wurde festgestellt, dass VSCode-Erweiterungen und npm-Pakete verschleierten bösartigen Code mit ähnlichen Strukturen enthalten. Nach der Entdeckung wurde das bösartige npm-Paket gemeldet und umgehend entfernt, wodurch die Auswirkungen auf etwa 350 Downloads begrenzt wurden.
IDEs und ihre Erweiterungen stellen aufgrund ihres Potenzials für böswillige Ausnutzung erhebliche Sicherheitsrisiken dar.
Regelmäßige Sicherheitsbewertungen von IDEs und ihren Abhängigkeiten sind von entscheidender Bedeutung, um unbefugten Zugriff und die Gefährdung der Entwicklungsumgebung und der Lieferkette zu verhindern.
Reversing Labs weist auf die Anfälligkeit von Software-Lieferketten hin, insbesondere von npm- und VSCode-Ökosystemen. Böswillige Akteure können Pakete leicht kompromittieren und so Hintertüren und Risiken für Datendiebstahl einführen.
Für Unternehmen und Entwickler ist es wichtig, die Abhängigkeiten von Drittanbietern sorgfältig zu bewerten und robuste Sicherheitslösungen zu implementieren, um dieses Risiko zu minimieren.
