Злоумышленник, внедряющий вредоносные расширения, загружающие вредоносное ПО GlassWorm, на площадку кода Open VSX, опубликовал еще 73 ссылки под видом других, продолжая попытки заражения цепочек поставок программного обеспечения.
Филипп Буркхардт, руководитель отдела анализа угроз в Socket, который сообщил о последней активности, назвал это «значительной эскалацией» в деятельности группировки после того, как в прошлом месяце она добавила 72 вредоносных расширения.
Расширения маскируются под доверенные инструменты разработчика. В последнее время перечисленные расширения содержат безвредный код, чтобы избежать обнаружения сканерами вредоносного ПО. Позже, после автоматического подключения к недавно созданным аккаунтам GitHub или другим публичным учетным записям, они загружают GlassWorm на компьютеры разработчиков в виде обновления. Эта последняя волна включает некоторые расширения, использующие скомпилированные нативные бинарные файлы.
«Само расширение действует как тонкий загрузчик», — пояснили в Socket в своем отчете. «Перемещая критическую логику за пределы того, что обычно сканируют инструменты, и распределяя ее по нескольким механизмам доставки, злоумышленник повышает вероятность уклонения от обнаружения».
Из 73 новых расширений, замеченных Socket на прошлой неделе, шесть были активированы для подключения к источникам вредоносного ПО. На этой неделе, по словам Буркхардта в интервью, были активированы еще восемь.
Socket уведомил Eclipse Foundation, которая курирует маркетплейс Open VSX, о последних мошеннических добавлениях, и Буркхардт ожидает, что к настоящему времени все 73 были удалены.
Однако продолжающиеся атаки являются еще одним примером того, как злоумышленники пытаются использовать открытые маркетплейсы кода, используемые разработчиками, такие как Open VSX и npm, для компрометации приложений в процессе их создания, чтобы обеспечить последующее распространение вредоносного ПО для кражи данных.
[Связанный контент:Вредоносное ПО GlassWorm распространяется через злоупотребление зависимостями]
Расширения — это дополнительные модули, которые помогают разработчикам ускорить создание приложений. Поскольку Visual Studio Code от Microsoft является одним из самых распространенных редакторов кода во всем мире, расширения VS Code представляют собой заманчивую цель для злоумышленников. Популярные расширения включают утилиты, которые выполняют все: от анализа JavaScript, TypeScript и других поддерживаемых языков на предмет потенциальных ошибок до инструментов на базе ИИ, предлагающих автодополнение кода. Eclipse Foundation заявляет, что реестр Open VSX содержит более 12 000 расширений от более чем 8 000 издателей.
Системный пробел в безопасности сред разработки
GlassWorm, несмотря на свое название, является не червем, а загрузчиком. Согласно StepSecurity, полезная нагрузка 3-го этапа GlassWorm включает выделенный модуль кражи учетных данных, который собирает токены GitHub и npm из нескольких источников. Затем злоумышленник использует эти учетные данные для принудительной отправки вредоносного ПО во все репозитории жертвы.
Загрузчик включает хост-гейтинг, который обнаруживает и отменяет сброс вредоносного ПО на компьютерах с русским языком, что позволяет Буркхардту подозревать, что злоумышленники, стоящие за этой кампанией, являются российскими.
Таня Джанка, которая обучает безопасному кодированию через свою фирму SheHacksPurple, отметила: «Что делает кампанию GlassWorm особенно опасной и интересной, так это то, что она выявляет системный пробел в том, как мы защищаем среды разработчиков».
«Для программных пакетов у нас есть lockfiles, закрепленные хеши и воспроизводимые сборки. Для расширений IDE [интегрированной среды разработки] у нас почти ничего нет. Нет проверки целостности, нет эквивалента package-lock.json, и у большинства организаций нет никакой политики, регулирующей, что разработчикам разрешено устанавливать в свои IDE».
Вредоносные акторы заметили этот пробел. Для них нацеливание на расширения VS Code является менее затратной поверхностью атаки, чем нацеливание на пакеты, сказала она, в частности потому, что средства контроля, которые организации годами выстраивали вокруг своих конвейеров зависимостей, просто не существуют для расширений.
Причина, по которой только некоторые из 73 расширений были активированы до распространения предупреждения, несомненно, является преднамеренной, добавила Джанка. «Это выглядит как намеренно спланированное развертывание: опубликовать их все широко, чтобы завоевать доверие и накопить загрузки, а затем активировать вредоносные подмножества с течением времени, чтобы избежать массового обнаружения и сохранить резерв запасов готовых активов, если некоторые из них будут удалены или замечены».
Советы разработчикам
Джанка сказала, что разработчикам, желающим снизить свою подверженность кампании GlassWorm, следует начать с основ: устанавливать меньше расширений и относиться к каждому из них как к зависимости с реальным риском. Отключите автоматическое обновление, чтобы вы контролировали, когда применяются обновления, и тщательно оценивайте каждое из них. Используйте инструмент SCA нового поколения, который охватывает расширения IDE и другие области цепочки поставок, а не только сторонние пакеты и компоненты.
«То, что упускают из виду большинство людей», — добавила она: «Проводите аудит того, что у вас уже установлено. Расширения накапливаются годами, и разработчик, создавший это расширение в 2022 году, может быть уже не тем человеком, который его поддерживает сегодня».
Командам, которым нужны более надежные гарантии, следует использовать инструмент поведенческого мониторинга, который отслеживает активность во время выполнения, а не только контент во время установки, сказала Джанка. Установите официальный процесс утверждения для новых расширений с одобрением службы безопасности. Ведите список разрешенных расширений и не устанавливайте их из альтернативных маркетплейсов, таких как Open VSX, не рассматривая их как источник повышенного риска.
«Та же дисциплина, которую мы применяем к пакетам с открытым исходным кодом, должна применяться и к инструментам, находящимся внутри наших IDE и остальной части нашей цепочки поставок программного обеспечения», — сказала она.
Обучите разработчиков распознавать признаки
Буркхардт сказал, что директора по безопасности (CSO) должны обеспечить обучение разработчиков распознаванию поддельных расширений, тщательно проверяя имена файлов, которые они ищут, чтобы избежать обмана с помощью тайпосквоттинга, и подтверждая легитимность издателя. Некоторые расширения, связанные с GlassWorm, имеют больше загрузок, чем легитимное расширение, отметил он, что является подозрительным признаком.
Разработчики также должны быть ограничены в том, что они могут загружать, добавил он, особенно расширения, недавно добавленные в репозиторий. Также может потребоваться отключить возможность автоматической загрузки обновлений расширений, сказал он, и разработчиков следует предупредить, чтобы они загружали только те расширения, которые им нужны, а не те, с которыми можно поэкспериментировать.
CSO также должны искать инструменты безопасности, которые обеспечивают видимость того, что загружают разработчики, добавил Буркхардт.
И чтобы помочь обнаружить проблемы с Open VSX, ранее в этом месяце Eclipse Foundation объявила о запуске Программы признания исследователей безопасности Open VSX, чтобы поощрять ответственное раскрытие уязвимостей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
