یکی از IDEهایی که خیلی از برنامه نویسها ازش استفاده میکنن VSCode هستش. این IDE یک مارکتی هم داره که اجازه میده برنامه نویسا افزونه های خودشون رو اونجا ارائه بدن.
محققای AquaSec یه تحقیقی روی این مارکت کردن تا ببینم آیا امکان توزیع بدافزار از این مارکت وجود داره یا نه ؟
بطور خلاصه این محققا متوجه شدن که آپلود افزونه مخرب تو این مارکت ساده هستش و احتمالا بازیگران تهدید قبلا از این روش برای توزیع بدافزار استفاده کردن.
این تیم با استفاده از تکنیک typosquat یه افزونه مخرب برای Prettier که 27 میلیون بار دانلود شده رو تو این مارکت قرار داده.
این مارکت امکان قرار دادن لوگو و توضیحات رو فراهم میکنه. یعنی میشه برای چند افزونه ، لوگو و توضیحات یکسان قرار داد.
جزییات پروژه ، بصورت اتوماتیک ، آمار گیت هاب رو نشون میده و بنابراین این قسمت با پروژه اصلی میتونه متفاوت باشه. اما مهاجم میتونه دقیقا شرایط موجود در گیت هاب پروژه اصلی رو روی پروژه جعلی پیاده سازی کنن و حتی با استفاده از سرویس های غیر قانونی اقدام به خرید ستاره و تعداد دانلود کنند تا در نهایت پروژه رو معتبر جلوه بدن.
تو این تحقیق PoC که این گروه ایجاد کردن در کمتر از 48 ساعت تونسته 1500 بار دانلود بشه.
افزونه های مشکوک:
علاوه بر این تحقیق این گروه دو تا افزونه مشکوک بنام API Generator Plugin و code-tester هم پیدا کردن که رفتار مشکوک به بدافزار دارن و با دامنه robotnowai.top که سابقه طولانی در توزیع بدافزار داره ، هم در ارتباط هستن.
این گروه هر دو افزونه رو به مایکروسافت گزارش دادن، اما تا زمان نگارش مقاله همچنان فعال بودند.
نتیجه گیری :
این گروه گفتن با توجه به بررسی کم این مارکت توسط محققین و همچنین علاقه مهاجمین برای استفاده از روش های جدید برای توزیع بدافزار ، این مارکت میتونه روش بعدی برای مهاجمین باشه.
علاوه بر این مارکت ، مایکروسافت مارکتهایی هم برای Visual Studio و Azure DevOps داره.