Một nhóm các nhà nghiên cứu Israel đã tiến hành nghiên cứu về tính bảo mật của thị trường Visual Studio Code với việc thử nghiệm phát hành một tiện ích giả mạo trên cửa hàng ứng dụng của VSCode (VSCode Marketplace) và đã thành công lây nhiễm nó cho hơn 100 tổ chức. Nghiên cứu sâu hơn của nhóm đã tìm ra hàng nghìn tiện ích độc hại với hàng triệu lượt cài đặt trên VSCode Marketplace.

Visual Studio Code (VSCode) là trình soạn thảo mã nguồn (code) do Microsoft phát hành và được nhiều nhà phát triển phần mềm trên toàn thế giới sử dụng. Microsoft cũng vận hành một thị trường tiện ích mở rộng cho IDE, được gọi là Visual Studio Code Marketplace, nơi cung cấp các tiện ích giúp bổ sung chức năng cho ứng dụng cũng như cung cấp nhiều tùy chọn tùy chỉnh hơn.

Các báo cáo trước đây đã nêu bật những lỗ hổng trong bảo mật của VSCode cho phép giả mạo tiện ích và mạo danh nhà phát hành hay cho phép các tiện ích đánh cắp token xác thực của nhà phát triển.

Đối với thử nghiệm gần đây, các nhà nghiên cứu Amit Assaraf, Itay Kruk và Idan Dardikman đã tạo ra một tiện ích giả mạo 'Dracula Official', một tiện ích ‘color scheme’ phổ biến cho nhiều ứng dụng đã có hơn 7 triệu lượt cài đặt trên VSCode Marketplace.

Tiện ích giả mạo được sử dụng trong nghiên cứu có tên là 'Darcula' và các nhà nghiên cứu đã đăng ký một tên miền tương ứng cho nó, 'darculatheme.com.' Tên miền này được sử dụng để đăng ký và xác minh nhà phát hành trên VSCode Marketplace, làm tăng thêm độ tin cậy cho tiện ích giả mạo.

Tiện ích này sử dụng mã nguồn hợp pháp từ theme Darcula và chèn thêm một đoạn mã bổ sung cho phép thu thập thông tin hệ thống, bao gồm tên máy chủ, số lượng tiện ích đã cài đặt, tên miền của thiết bị và nền tảng hệ điều hành, đồng thời gửi nó đến máy chủ từ xa thông qua POST HTTPS request.

Các nhà nghiên cứu lưu ý rằng tiện ích giả mạo này không bị phát hiện và đánh dấu là độc hại bởi các công cụ phát hiện và phản ứng điểm cuối (EDR).

"…Các công cụ bảo mật điểm cuối truyền thống (EDR) không phát hiện được hoạt động này, VSCode được xây dựng để đọc nhiều tệp và thực thi nhiều lệnh cũng như tạo các quy trình con, do đó EDR không thể hiểu được hoạt động từ VSCode là hoạt động hợp pháp của nhà phát triển hay là tiện ích độc hại." - Amit Assaraf cho biết.

Tiện ích này nhanh chóng thu hút được sự chú ý và lừa được nhiều mục tiêu cài đặt, bao gồm một công ty niêm yết công khai với vốn hóa thị trường 483 tỷ USD, các công ty bảo mật lớn và mạng lưới tòa án tư pháp quốc gia. Các nhà nghiên cứu không tiết lộ tên của các công ty bị ảnh hưởng.

Sau khi thử nghiệm thành công, các nhà nghiên cứu quyết định nghiên cứu thêm về bối cảnh mối đe dọa của VSCode Marketplace, sử dụng công cụ mà họ đã phát triển - 'ExtensionTotal' - để tìm kiếm các tiện ích có rủi ro cao, giải nén chúng và phân tích các đoạn mã đáng ngờ. Thông qua quá trình này, họ đã phát hiện:

- 1.283 tiện ích có chứa mã độc đã biết (229 triệu lượt cài đặt).

- 8.161 tiện ích có kết nối với các địa chỉ IP được chỉ định trong mã nguồn.

- 1.452 tiện ích đang chạy các tệp thực thi không xác định.

- 2.304 tiện ích đang sử dụng kho lưu trữ Github của nhà xuất bản khác, cho thấy chúng là các phần mềm bắt chước.

Việc Microsoft thiếu các biện pháp kiểm soát nghiêm ngặt và cơ chế kiểm tra mã trên VSCode Marketplace cho phép các tác nhân đe dọa thực hiện các hành vi lạm dụng nền tảng, và tình trạng này ngày càng trở nên tồi tệ hơn khi nền tảng này ngày càng được sử dụng phổ biến hơn. "Vấn đề này gây ra mối đe dọa trực tiếp cho các tổ chức và đáng được cộng đồng bảo mật chú ý", các nhà nghiên cứu cảnh báo.

Tất cả các tiện ích mở rộng độc hại được các nhà nghiên cứu phát hiện đều đã được báo cáo cho Microsoft. Tuy nhiên, tại thời điểm hiện tại, phần lớn chúng vẫn có sẵn để tải xuống thông qua VSCode Marketplace.

Các nhà nghiên cứu dự định sẽ phát hành công cụ 'ExtensionTotal' miễn phí cùng với thông tin chi tiết về khả năng hoạt động của nó để giúp các nhà phát triển rà quét môi trường của họ để tìm kiếm và loại bỏ các mối đe dọa tiềm ẩn.