De Visual Code (VSCode) Marketplace van Microsoft bevat duizenden kwaadaardige extensies die zich makkelijk kunnen verspreiden door het ontbreken van controle door het bedrijf. Dit constateerden Israëlische security-onderzoekers na een eigen experiment met het verspreiden van een kwaadaardige VSCode-extensie via de marktplaats.
In hun onderzoek slaagden de security-specialisten er in eerste instantie in een eigen kwaadaardige extensie naar de VSCode Marketplace te uploaden en daarmee meer dan honderd bedrijven of gebruikers te ‘infecteren’. Onder de slachtoffers bevonden zich onder meer een groot beursgenoteerd bedrijf, veel securityleveranciers en een overheidssysteem voor rechtbanken.
De betreffende kwaadaardige extensie betrof een ‘typosquat’-versie van het populaire Dracula Official-thema. Met deze kleurenschema- extensie kunnen ontwikkelaars onder meer een zeer scherpe dark-mode aan applicaties toevoegen.
Downloaden systeeminformatie
Aan de eigen ‘Dracula’-extensie, die ook aan een fake-website werd gekoppeld, voegden de ontwikkelaars een script toe dat systeeminformatie verzamelde. Deze verzamelde data betroffen onder meer de hostnaam, het aantal geïnstalleerde extensies bij een gebruiker, de domeinnaam van het gebruikte device en het gebruikte OS. Deze data werden vervolgens via een HTTPS POST-verzoek naar een server op afstand gestuurd.
De verspreiding van deze kwaadaardige extensie kon makkelijk plaatsvinden omdat Microsoft de extensie door de koppeling aan de website als ‘legitiem’ aanmerkte.
Daarnaast ontdekten Endpoint Detection & Response (EDR)-tools de kwaadaardige natuur van de extensie niet omdat zij vaak dit soort extensies uit de VSCode Marketplace makkelijk toelaten. Dit omdat VSCode als een ontwikkel- en testomgeving wordt beschouwd.
Duizenden kwaadaardige VSCode-extensies
Uit verder onderzoek van de securityexperts bleek dat de VSCode Marketplace vol zit met duizenden openbare extensies die kwaadaardige code bevatten. Van deze extensies bevatten 1.283 bekende kwaadaardige code. Hiervan zijn al 229 miljoen installs.
Nog eens 8.161 extensies communiceren met hardcoded IP-adressen. Ook draaien 1.452 extensies onbekende .exe-bestanden. Verder gebruiken nog eens 2.304 aangetroffen extensies de GitHub-repositories van andere uitgevers. Volgens de onderzoekers zijn deze laatste daarom copycats.
Zorgen over gebrek aan controle
De onderzoekers maken zich veel zorgen over het gebrek aan controle van Microsoft op de code en extensies die via de VSCode Marketplace beschikbaar zijn. Dit is niet de enige keer dat de techgigant kritiek krijgt over de veiligheid van VSCode.
Eerdere ontdekte kwetsbaarheden betroffen onder meer de mogelijkheid voor cybercriminelen om zich voor te doen als een legitieme extensie of de uitgever daarvan. Op deze manier konden zij dan extensies uploaden die authenticatietokens van ontwikkelaars kunnen stelen. Ook zijn er ‘wilde’ extensies binnen de marketplace in omloop die bewezen kwaadaardig zijn.
De securityonderzoekers zelf introduceren binnenkort een gratis eigen ‘ExtensionTotal’-tool waarmee meen ontwikkelaars hun omgevingen op kwaadaardige VSCode-extensies kunnen scannen. Microsoft zelf heeft nog niet op de bevindingen van de onderzoekers gereageerd.
Lees ook: Onderzoekers waarschuwen voor securityrisico’s in VSCode Marketplace