Поделиться
150 тысяч программистов едва избежали кибератаки через плагины среды разработки Microsoft VS Code, написанные их нерадивыми коллегами
Изучив ряд расширений для редактора кода Microsoft VS Code, эксперты в области ИБ пришли к неутешительному выводу: разработчики часто допускают утечки секретов – ключей шифрования, персональных токенов авторизации и пр., что создает угрозу использования этих расширений в кибератаках. Специалисты Wiz утверждают, что при помощи извлеченной из плагинов информации при желании могли бы одним махом заразить 150 тыс. компьютеров, среди которых ПК китайской мегакорпорации и российской компании в области технологий строительства.Опасные расширения для VS Code
Разработчики расширений для популярнейшего редактора программного кода Microsoft VS Code, часто допускают утечку информации, попадание которой в плохие руки грозит опасными кибератаками на цепочки поставок, пишет The Register.
ИБ-компания Wiz Security провела глубокое исследование 500 расширений, размещенных на маркетплейсах VS Code и Open VSX. В результате было обнаружено более 550 актуальных секретов.
Под «секретами» обычно подразумеваются логины/пароли и токены доступа или авторизации, ключи API и шифрования, сертификаты безопасности и т.п.
Wiz Security разделила обнаруженные в коде дополнений секреты на 67 категорий. Большинство из них можно отнести к одной из трех групп, в зависимости от того, к какому типу ПО/сервиса они открывают доступ: платформы генеративного искусственного интеллекта; «высокорисковые профессиональные платформы», такие как IaaS- и PaaS-провайдеры Amazon Web Services и Google Cloud Platform; сервис Auth0, работающий по модели «идентификация как услуга» (IDaaS), хостинг ИТ-проектов GitHun; базы данных, например, MongoDB и PostgreSQL.
Свыше 100 из более чем 500 выявленных секретов могли бы позволить потенциальному злоумышленнику получить контроль над механизмом обновления дополнения. Иначе говоря, обладающий это конфиденциальной информацией имел возможность встроить в код расширения вредоносное содержимое и доставить его на ПК жертвы. Задачу облегчает и то обстоятельство, что VS Code по умолчанию выполняет обновление установленных дополнений автоматически.
Возможность крупномасштабной атаки
В Wiz отметили, что обнаруженные ими токены персонального доступа (Personal Access Token; PAT), необходимые для обновления изученных расширений, позволяли на практике заразить около 150 тыс. ПК пользователей VS Code разом.
Многие из этих пользователей применяют расширения, которые всего лишь меняют тему оформления интерфейса редактора кода. Однако, хоть такие плагины и не способны «испортить» программный код, который пишет разработчик, ничто не мешает злоумышленникам использоваться их в качестве инструмента доставки вредоносного ПО на компьютер жертвы.
Среди потенциальных жертв атаки через механизм обновления дополнения попали и по-настоящему ценные для хакеров с коммерческой точки зрения экземпляры. Так, в Wiz утверждают, что в их числе некая «китайская мегакорпорация с рыночной капитализацией на уровне $30 млрд». Эта компания, название которой исследователи предпочли сохранить в тайне, отметилась публикация расширения для VS Code, которое изначально предназначалось для исключительно для внутреннего пользования. Организации поступают так довольно часто, хотя это и порочная практика, но многие готовы пожертвовать безопасностью ради удобства, отмечают в Wiz.
«Вендор-специфичные расширения широко распространены и открывают интересные возможности для атак в случае их компрометации, – говорит Рами Маккарти (Rami McCarthy), главный исследователь безопасности в Wiz.
По словам эксперта, одно из расширений такого типа, открывающих дополнительный вектор атаки, принадлежит российской компании в сфере строительных технологий.
Меры предосторожности приняты
Исследователи заблаговременно до публикации уведомили Microsoft о выявленных угрозах, после чего компания реализовала процедуру автоматического сканирования Visual Studio Marketplace на предмет наличия в них расширений, допускающих утечку чувствительных данных, в том числе секретов. Такие дополнения теперь подвергаются блокировке. Впервые о планах по запуску нового механизма отсеивания опасных расширений Microsoft сообщила в августе 2025 г., а фактически блокировки начались в конце сентября.
Как отмечает The Register, Wiz и Microsoft связались с разработчиками небезопасных дополнений с целью устранения выявленных недостатков.
VS Code, форки и расширения
VS Code – один из самых популярных открытых редакторов кода. Является полностью свободным ПО, чей код распространяется на условиях лицензии MIT.
Корпорация Microsoft открыла исходный код среды разработки VS Code и опубликовала его на сайте GitHub в ноябре 2015 г. Предварительная версия редактора была выпущена в апреле 2015 г. Вместе с открытием его кода Microsoft объявила о начале фазы бета-тестирования. Наиболее важным нововведением в бета-версии стала поддержка расширений.
Кодовая база VS Code в дальнейшем легла в основу множества форков, в том числе VS Codium и Cursor. Рост их популярности подтолкнул Microsoft запретить использование плагинов для VS Code в продуктах сторонних разработчиков. Такое ограничение действует по крайней мере с сентября 2020 г., когда были опубликованы условия лицензирования подключаемого модуля в их текущим виде. В апреле 2025 г., как сообщил CNews, корпорация умышленно сделала крайне популярное расширение для написания кода на языках программирования C и C++ несовместимым с альтернативными средами разработки.
Поделиться
Короткая ссылка
