กลุ่มผู้ไม่หวังดีมุ่งเป้าโจมตี VSCode Marketplace ของ Microsoft โดยอัปโหลด extension Visual Studio ที่เป็นอันตราย 3 รายการ โดยมีนักพัฒนาบน Windows ดาวน์โหลดไปแล้วกว่า 46,600 ครั้ง
จากรายงานของ Check Point นักวิเคราะห์พบ extension ที่เป็นอันตราย และรายงานไปยัง Microsoft ว่า extension ดังกล่าวทำให้แฮ็กเกอร์สามารถขโมยข้อมูล credentials, ข้อมูลระบบ และสร้างช่องทาง remote shell บนเครื่องของเหยื่อ
Extension ถูกพบ และรายงานเมื่อวันที่ 4 พฤษภาคม 2023 และต่อมาก็ถูกลบออกจาก VSCode Marketplace ในวันที่ 14 พฤษภาคม 2023
Visual Studio Code (VSC) เป็น source-code editor ที่เผยแพร่โดย Microsoft และถูกใช้งานจากนักพัฒนาซอฟต์แวร์มืออาชีพจำนวนมากทั่วโลก
Microsoft ยังดำเนิน extensions market สำหรับ IDE ที่เรียกว่า VSCode Marketplace ซึ่งมีโปรแกรมเสริมมากกว่า 50,000 รายการที่ขยายการรองรับการทำงานของแอปพลิเคชัน และมีตัวเลือกสำหรับการปรับแต่งเพิ่มเติม
โดย extension ที่เป็นอันตรายที่ค้นพบโดยนักวิจัยของ Check Point มีดังต่อไปนี้ :
- Theme Darcula dark – extension นี้ใช้เพื่อขโมยข้อมูลพื้นฐานเกี่ยวกับระบบของผู้พัฒนา, รวมถึงชื่อ Host ระบบปฏิบัติการ, แพลตฟอร์ม, CPU, หน่วยความจำทั้งหมด และข้อมูลเกี่ยวกับ CPU
แม้ว่า extension จะยังไม่มีพฤติกรรมที่เป็นอันตรายอื่น ๆ แต่ก็ไม่ใช่ลักษณะการทำงานทั่วไป โดย extension นี้มีการดาวน์โหลดมากที่สุด โดยมีการดาวน์โหลดไปแล้วมากกว่า 45,000 ครั้ง
- python-vscode – extension นี้ถูกดาวน์โหลด 1,384 ครั้ง แม้ไม่มีคำอธิบายรายละเอียดของ extension และชื่อผู้อัปโหลดเป็น 'testUseracc1111' ซึ่งจากการวิเคราะห์โค้ดแสดงให้เห็นว่าเป็น C# shell injector ที่สามารถรันโค้ด หรือคำสั่งบนเครื่องของเหยื่อได้
- prettiest java – ชื่อ และคำอธิบายของ extension สร้างขึ้นเพื่อเลียนแบบเครื่องมือจัดรูปแบบโค้ด 'prettier-java' ที่เป็นที่นิยม โดย extension นี้จะขโมยข้อมูล credentials หรือโทเค็นการตรวจสอบสิทธิ์ที่บันทึกไว้จาก Discord และ Discord Canary, Google Chrome, Opera, Brave Browser และ Yandex Browser ซึ่งถูกส่งไปยังผู้โจมตีผ่าน webhook Discord โดย extension นี้มีการติดตั้งไปแล้ว 278 ครั้ง
นอกจากนี้ Check Point ยังพบ extension ที่น่าสงสัยอีกหลายรายการ ซึ่งยังไม่สามารถระบุได้ว่าเป็นอันตราย แต่มีพฤติกรรมที่ผิดปกติ เช่น การดึงโค้ดจากที่เก็บส่วนตัว หรือการดาวน์โหลดไฟล์
ที่เก็บซอฟต์แวร์ที่อนุญาตให้ผู้ใช้มีส่วนร่วม เช่น NPM และ PyPi ได้รับการพิสูจน์ว่ามีความเสี่ยงในการใช้งานเนื่องจากกลายเป็นเป้าหมายที่ได้รับความนิยมจากแฮ็กเกอร์ ในขณะที่ VSCode Marketplace เพิ่งเริ่มตกเป็นเป้าหมาย โดยนักวิจัยจาก AquaSec ได้ทดสอบในเดือนมกราคมพบว่าการอัปโหลด extension ที่เป็นอันตรายไปยัง VSCode Marketplace นั้นค่อนข้างง่าย และแนะนำพฤติกรรมที่อาจเป็นอันตรายในลักษณะอื่น ๆ อย่างไรก็ตามในเวลานั้นยังไม่พบ extension ที่เป็นลักษณะมัลแวร์
คำแนะนำ
- ให้ติดตั้งเฉพาะ ที่มาจากแหล่งที่เชื่อถือได้ ซึ่งมีการดาวน์โหลด และการให้คะแนนจำนวนมากโดยชุมชนนักพัฒนา อ่านบทวิจารณ์ของผู้ใช้ และตรวจสอบซอร์สโค้ดของ extension ทุกครั้งก่อนทำการติดตั้ง
ที่มา : bleepingcomputer
You must be logged in to post a comment.