Nguy cơ tấn công chuỗi cung ứng từ lỗ hổng trong tiện ích mở rộng của Visual Studio Code

Theo đó, một số tiện ích mở rộng như LaTeX Workshop, Rainbow Fart, Open in Default Browser và Instant Markdown có thể bị khai thác để thực thi mã tùy ý từ xa trên hệ thống của nhà phát triển, dẫn đến các cuộc tấn công chuỗi cung ứng. Các tiện ích này đã có đến hơn 2 triệu lượt người dùng cài đặt

Các nhà nghiên cứu của Synk cho biết: “Máy tính của nhà phát triển thường giữ các thông tin xác thực quan trọng, cho phép kẻ tấn công tương tác trực tiếp hoặc gián tiếp với nhiều phần của sản phẩm. Việc rò rỉ khóa riêng tư của nhà phát triển có thể cho phép kẻ tấn công sao chép cơ sở mã của thành phần quan trọng hoặc thậm chí kết nối với các máy chủ sản xuất”.

Các tiện ích mở rộng VSCode giống như tiện ích bổ sung của trình duyệt, cho phép nhà phát triển sử dụng hiệu quả trình soạn thảo mã nguồn Microsoft Visual Studio Code với các tính năng bổ sung như ngôn ngữ lập trình và trình gỡ lỗ hổng liên quan đến quy trình phát triển. Kiểm tra các tiện ích mở rộng tồn tại lỗ hổng, các nhà nghiên cứu cho rằng kẻ tấn công có thể lợi dụng chúng để thực hiện các cuộc tấn công chuỗi cung ứng.

Theo đó, lỗ hổng path traversal trong Instant Markdown có thể bị kẻ tấn công có quyền truy cập vào máy chủ web cục bộ để truy xuất bất kỳ tệp nào được lưu trữ trên máy tính bằng cách lừa nhà phát triển nhấp vào một URL độc hại.

Trong PoC, các nhà nghiên cứu chỉ ra rằng có thể khai thác lỗ hổng này để lấy cắp khóa SSH từ một nhà phát triển đang chạy VS Code và có cài tiện ích Instant Markdown hoặc Open in Default Browser trong IDE. Mặt khác, tiện ích LaTeX Workshop tồn tại lỗ hổng command injection cho phép chạy các mã độc hại.

Tiện ích mở rộng Rainbow Fart có lỗ hổng zip slip, cho phép kẻ tấn công ghi đè các tệp tùy ý trên máy tính của nạn nhân và thực thi mã từ xa. Trong một cuộc tấn công mô phỏng, một tệp ZIP được gửi qua endpoint “import-voice-package” được plugin sử dụng với mục đích ghi tệp nằm ngoài thư mục plugin hoạt động.

Các nhà nghiên cứu cảnh báo: “Cuộc tấn công này có thể được sử dụng để ghi đè lên các tệp như .bashrc và cuối cùng thực thi mã từ xa”.

Mặc dù, các lỗ hổng trong các tiện ích mở rộng đã được vá, tuy nhiên sẽ rất nguy hiểm nếu kẻ tấn công sử dụng nhiều loại phần mềm độc hại để xâm phạm các công cụ và môi trường phát triển cho các chiến dịch khác.