Společnost ReversingLabs upozornila na chybu v tržišti rozšíření pro Visual Studio Code, která umožňuje útočníkům znovu publikovat rozšíření pod názvy dříve odstraněných balíčků. Tento problém vyšel najevo poté, co bezpečnostní tým identifikoval škodlivé rozšíření „ahbanC.shiba“, navazující na dříve odhalené moduly „ahban.shiba“ a „ahban.cychelloworld“.

Všechna tato rozšíření fungovala jako stahovače: načítala PowerShell payload z externího serveru, šifrovala soubory ve složce „testShiba“ a následně požadovala platbu v kryptoměně Shiba Inu. Analýza ukázala, že útočník dokázal znovu použít název dříve odstraněného rozšíření, a to přesto, že podle pravidel by měl být unikátní. Rozdíl spočíval pouze v jiném názvu vydavatele. Podobný problém byl dříve zdokumentován také u repozitáře Python Package Index (PyPI), který však v určitých případech blokuje opětovné použití jmen zneužitých balíčků. Visual Studio Code zatím takové omezení nemá.

„Objevení této trhliny odhaluje novou hrozbu: že název jakéhokoli odstraněného rozšíření může být znovu použit – a to kýmkoli,“ uvedla bezpečnostní výzkumnice Lucija Valentić. Podle ní by to mohlo představovat riziko, pokud by byl například odstraněn populární a legitimní doplněk.

Problém zapadá do širšího trendu útoků na open-source repozitáře. Nedávno bylo odhaleno osm škodlivých npm balíčků publikovaných pod účty „ruer“ a „npjun“, které dokázaly krást hesla, platební údaje a data z kryptopeněženek. Útočníci při tom používali extrémně obfuskovaný kód a víceúrovňové payloady.

Podle odborníků je stále zřetelnější, že open-source registry se staly klíčovým cílem pro útoky na dodavatelský řetězec softwaru. Firmy proto musí zavádět bezpečnostní procesy, aktivně monitorovat využívané komponenty a spoléhat na automatizované skenování celého dodavatelského řetězce.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS