Milyonlarca yüklemeye sahip kötü amaçlı VSCode uzantıları keşfedildi

 

Bir grup İsrailli araştırmacı, Microsoft’un popüler kaynak kod düzenleyicisi Visual Studio Code’un (VSCode) uzantı pazarının güvenliğini inceledi ve kritik bulgulara ulaştı. Araştırmacılar, popüler ‘Dracula Resmi’ temasının bir kopyasını truva atı haline getirerek, 100’den fazla kuruluşa gizlice sızmayı başardı. Bu çalışma, VSCode Marketplace’te bulunan uzantıların güvenliği konusunda önemli zafiyetler olduğunu gösterdi.

Visual Studio Code ve Uzantı Pazarı

Microsoft tarafından yayınlanan VSCode, dünya çapında birçok profesyonel yazılım geliştiricisi tarafından kullanılan bir kaynak kod düzenleyicisidir. Uygulamanın işlevselliğini artıran ve özelleştirme seçenekleri sunan uzantılar, Visual Studio Code Marketplace adı verilen bir pazar üzerinden temin edilebilir. Ancak, önceki raporlarda VSCode’un güvenliğindeki boşluklar vurgulanmış ve uzantıların kimliğe bürünmesine, geliştirici kimlik doğrulama belirteçlerinin çalınmasına izin veren güvenlik açıkları tespit edilmiştir.

Sahte ‘Dracula’ Teması

Araştırmacılar Amit Assaraf, Itay Kruk ve Idan Dardikman, deneyleri kapsamında popüler ‘Dracula Resmi’ temasının yazım hatalı bir versiyonunu oluşturdular. ‘Darcula’ adını verdikleri bu sahte tema, VSCode Marketplace’te doğrulanmış bir yayıncı gibi görünecek şekilde ‘darculatheme.com’ alan adı altında yayınlandı. Sahte uzantı, meşru Darcula temasının kodunu içeriyordu ancak ek olarak sistem bilgilerini toplayan ve uzak bir sunucuya gönderen bir komut dosyası içeriyordu.

Bu sahte tema, kısa sürede birçok yüksek değerli hedef tarafından yüklendi. 483 milyar dolarlık piyasa değeri olan halka açık bir şirket, büyük güvenlik firmaları ve ulusal adalet mahkemesi ağı dahil olmak üzere çeşitli kuruluşlar, bu temayı yanlışlıkla yükleyerek kötü amaçlı yazılıma maruz kaldılar. Ancak, araştırmacılar deneyin kötü niyetli bir amacı olmadığını ve sadece tanımlayıcı bilgiler topladıklarını belirtti. Uzantının ‘Beni Oku’ dosyasına, lisansına ve koduna bir açıklama eklediler.

Visual Studio Code Marketplace’in Tehdit Ortamı

Başarılı deneyin ardından, araştırmacılar ‘ExtensionTotal’ adlı özel bir araç geliştirerek VSCode Marketplace’teki uzantıları incelemeye başladılar. Bu araç, yüksek riskli uzantıları bulmak ve şüpheli kod parçacıklarını analiz etmek için kullanıldı. Araştırma sonuçları aşağıdaki gibi özetlendi:

  • Bilinen kötü amaçlı kod içeren 1.283 uzantı (229 milyon yükleme).
  • 8.161 sabit kodlanmış IP adresiyle iletişim kuran uzantı.
  • 1.452 bilinmeyen yürütülebilir dosya çalıştıran uzantı.
  • 2.304 başka bir yayıncının Github deposunu kullanan uzantı.

Araştırmacılar, “Visual Studio Code pazarında kuruluşlar için risk oluşturan çok sayıda uzantı var” diyerek uyarıda bulundular. “VSCode uzantıları, sıfır görünürlük, yüksek etki ve yüksek risk ile kötüye kullanılan ve açığa çıkan bir saldırı sektörüdür. Bu sorun kuruluşlar için doğrudan bir tehdit oluşturmaktadır ve güvenlik topluluğunun dikkatini hak etmektedir.”

Microsoft’un Güvenlik Önlemleri

Araştırmacılar tarafından tespit edilen tüm kötü amaçlı uzantılar, Microsoft’a sorumlu bir şekilde bildirildi. Ancak, bu yazının yazıldığı sırada, bu uzantıların büyük çoğunluğu hala VSCode Marketplace üzerinden indirilebiliyordu. Araştırmacılar, ‘ExtensionTotal’ aracını ve operasyonel yetenekleriyle ilgili ayrıntıları önümüzdeki hafta yayınlamayı planlıyorlar. Bu araç, geliştiricilerin ortamlarını potansiyel tehditlere karşı taramasına yardımcı olacak ücretsiz bir araç olarak sunulacak.

BleepingComputer, Microsoft ile iletişime geçerek Visual Studio Marketplace’in güvenliğini yeniden gözden geçirme ve yazım hatası ve kimliğe bürünmeyi zorlaştıracak ek önlemler almayı planlayıp planlamadıklarını sordu, ancak yayınlanma tarihine kadar bir yanıt alamadı.

Bu olay, VSCode Marketplace’in güvenliği konusunda ciddi endişeler uyandırdı ve platformun daha sıkı kontrol ve kod inceleme mekanizmalarına ihtiyaç duyduğunu gösterdi. Geliştiriciler ve güvenlik uzmanları, bu tür tehditlere karşı daha dikkatli olmalı ve güvenlik önlemlerini artırmalıdır.

About The Author

Reply