VSCode扩展中新发现的漏洞可能会导致供应链攻击

在流行的Visual Studio代码扩展中发现的严重安全缺陷可能使攻击者能够通过开发人员的集成开发环境（IDE）危害本地计算机以及构建和部署系统。

这些易受攻击的扩展可能被利用，在开发人员的系统上远程运行任意代码，最终可能为供应链攻击铺平道路。

有问题的一些扩展包括“LaTeX Workshop”、“Rainbow Fart”、“在默认浏览器中打开”和“即时降价”，所有这些扩展都累积了大约200万次安装。

开源安全平台Snyk的研究人员在5月26日发表的一篇深度报道中说：“开发人员机器通常拥有重要的证书，允许它们（直接或间接）与产品的许多部分进行交互。”。“泄露开发人员的私钥可能会让恶意涉众克隆代码库的重要部分，甚至连接到生产服务器。”

VS代码扩展，如浏览器附加组件，允许开发人员使用与开发工作流相关的编程语言和调试器等附加功能来扩充Microsoft的Visual Studio代码源代码编辑器。VS代码被1400万活跃用户使用，使其成为一个巨大的攻击面。

Snyk bank设计的攻击场景是，通过利用插件中的弱点，有效地入侵开发人员系统，已安装的扩展可能被滥用为供应链攻击的载体。为此，研究人员研究了VS代码扩展，这些扩展具有易受攻击的本地web服务器实现。

在Snyk研究人员强调的一个案例中，即时降价中发现的路径遍历漏洞可能会被访问本地web服务器（也称为localhost）的恶意参与者利用，通过简单地诱使开发人员单击恶意URL来检索机器上托管的任何文件。

作为概念验证（PoC）的演示，研究人员表明，有可能利用该漏洞从运行VS代码的开发人员那里窃取SSH密钥，开发人员在IDE中安装了即时标记或默认浏览器打开。另一方面，LaTeX Workshop被发现容易受到命令注入漏洞的影响，因为未初始化的输入可能被利用来运行恶意有效负载。

最后，一个名为Rainbow Fart的扩展被确定有一个zip slip漏洞，该漏洞允许对手覆盖受害者机器上的任意文件，并获得远程代码执行。在研究人员设计的一次攻击中，一个精心编制的ZIP文件通过插件使用的“导入语音包”端点发送，并写入扩展工作目录之外的位置。

研究人员指出：“这种攻击可以用来覆盖“.bashrc”等文件，并最终获得远程代码执行。”。

尽管扩展中的缺陷已经得到了解决，但考虑到一系列安全事件，这些发现很重要。这些事件表明，开发人员已成为一个有利可图的攻击目标，威胁行为人释放了各种恶意软件，危害其他活动的开发工具和环境。

Snyk研究人员劳尔·奥尼扎·克鲁格曼（Raul Onitza Klugman）和基里尔·埃菲莫夫（Kirill Efimov）说：“对于第三方依赖性已经很清楚的一点，现在对于IDE插件也很清楚，它们会给应用程序带来固有的风险。”。“它们具有潜在的危险性，既因为它们的自定义编写代码片段，也因为它们所依赖的依赖关系。这里所展示的VS代码可能也适用于其他IDE，这意味着盲目安装扩展或插件是不安全的（从来都不安全）。”