Microsoft ได้ลบ extensions ของ Visual Studio Code (VS Code) ที่มีการใช้งานอย่างแพร่หลาย 2 รายการ ได้แก่ “Material Theme Free” และ “Material Theme Icons Free” ออกจาก Marketplace หลังจากนักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่ามีโค้ดอันตรายฝังอยู่ภายใน
Extensions เหล่านี้ได้รับการพัฒนาโดย Mattia Astorino (หรือที่รู้จักในชื่อ equinusocio) และมียอดติดตั้งรวมกันเกือบ 9 ล้านครั้ง โดยมีการดาวน์โหลด extensions ทั้งหมดของ Astorino รวมกว่า 13 ล้านครั้ง
หลังจากการลบ extensions ออก ผู้ใช้งานจะได้รับการแจ้งเตือนว่ามีการปิดใช้งาน extensions เหล่านี้ด้วยเหตุผลด้านความปลอดภัย
การตรวจสอบพบว่าโค้ดอันตรายมีแนวโน้มที่จะถูกเพิ่มเข้ามาผ่านไลบรารีที่ถูกโจมตี หรือระหว่างการอัปเดตล่าสุด แสดงให้เห็นถึงความเป็นไปได้ของการโจมตีแบบ Supply Chain Attack หรือการเข้าถึงบัญชีของนักพัฒนาโดยไม่ได้รับอนุญาต
นักวิจัยพบว่าธีมใน VS Code ควรจะประกอบไปด้วยไฟล์ JSON ที่เป็นข้อมูลสถิติตามปกติ ไม่ควรมีการเรียกโค้ด หรือสคริปต์ใด ๆ ดังนั้นการซ่อน JavaScript ภายใน extensions เหล่านี้จึงเป็นสัญญาณอันตรายที่สำคัญ
Malicious Intent Uncovered
พฤติกรรมอันตรายได้รับการแจ้งเตือนครั้งแรกโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Amit Assaraf และ Itay Kruk ซึ่งเชี่ยวชาญในการตรวจจับ VS Code extensions ที่เป็นอันตราย
การวิเคราะห์พบว่าโค้ดที่ซ่อน JavaScript ใน extensions เหล่านี้ รวมถึงการอ้างอิงถึงชื่อผู้ใช้งาน และรหัสผ่าน
แม้ว่าจุดประสงค์ที่แท้จริงของโค้ดนี้จะยังไม่สามารถระบุได้ เนื่องจากความซับซ้อนของเหตุการณ์ แต่การมีอยู่ของโค้ดก็เพียงพอที่จะทำให้ Microsoft ต้องดำเนินการทันที
Astorino ปฏิเสธข้อกล่าวหาการกระทำผิดโดยเจตนา โดยชี้แจงว่าปัญหานี้เกิดจากไลบรารี Sanity.io ที่ล้าสมัย ซึ่งใช้งานมาตั้งแต่ปี 2016 และได้วิจารณ์ Microsoft ที่ไม่แจ้งเตือนพวกเขาก่อนที่จะลบ extensions ออก โดยอ้างว่าการแก้ไขไลบรารีจะเป็นกระบวนการที่รวดเร็วกว่า
อย่างไรก็ตาม การวิเคราะห์ของ Microsoft ยืนยันผลการค้นพบของนักวิจัย ซึ่งนำไปสู่การลบ extensions ทั้งหมดที่เกี่ยวข้องกับ Astorino ออกจาก Marketplace
ความเสี่ยงที่อาจเกิดขึ้น และคำแนะนำ
เหตุการณ์ดังกล่าวแสดงให้เห็นถึงความเสี่ยงที่เกิดจาก components ที่เป็นอันตรายใน supply chains ของซอฟต์แวร์
ผู้ไม่หวังดีมักใช้ประโยชน์จากแพลตฟอร์มโอเพ่นซอร์ส เช่น VS Code Marketplace เพื่อแพร่กระจายโค้ดที่เป็นอันตรายใน extensions ที่ดูเหมือนจะถูกต้อง
ในกรณีนี้ นักพัฒนาที่ติดตั้ง extensions ที่ถูกโจมตีเหล่านี้อาจไม่รู้ตัวว่ากำลังเปิดเผยข้อมูลที่สำคัญ หรือระบบให้เสี่ยงต่อการถูกโจมตี
เพื่อลดความเสี่ยง นักพัฒนาควรถอนการติดตั้ง extensions ทั้งหมดที่เผยแพร่โดย equinusocio รวมถึง
- equinusocio.moxer-theme
- equinusocio.vsc-material-theme
- equinusocio.vsc-material-theme-icons
- equinusocio.vsc-community-material-theme
- equinusocio.moxer-icons
เหตุการณ์นี้แสดงให้เห็นถึงความสำคัญของการตรวจสอบไลบรารีจาก third-party และการรักษามาตรการด้านความปลอดภัยใน Supply chain
นักพัฒนาควรทำการตรวจสอบเครื่องมือของตนเป็นประจำ และหลีกเลี่ยงการติดตั้ง extensions ที่มีโค้ดที่น่าสงสัย
ที่มา : gbhackers
You must be logged in to post a comment.