Theo đó, một số tiện ích mở rộng như LaTeX Workshop, Rainbow Fart, Open in Default Browser và Instant Markdown có thể bị khai thác để thực thi mã tùy ý từ xa trên hệ thống của nhà phát triển, dẫn đến các cuộc tấn công chuỗi cung ứng. Các tiện ích này đã có đến hơn 2 triệu lượt người dùng cài đặt
Các nhà nghiên cứu của Synk cho biết: "Máy tính của nhà phát triển thường giữ các thông tin xác thực quan trọng, cho phép kẻ tấn công tương tác trực tiếp hoặc gián tiếp với nhiều phần của sản phẩm. Việc rò rỉ khóa riêng tư của nhà phát triển có thể cho phép kẻ tấn công sao chép cơ sở mã của thành phần quan trọng hoặc thậm chí kết nối với các máy chủ sản xuất".
Các tiện ích mở rộng VSCode giống như tiện ích bổ sung của trình duyệt, cho phép nhà phát triển sử dụng hiệu quả trình soạn thảo mã nguồn Microsoft Visual Studio Code với các tính năng bổ sung như ngôn ngữ lập trình và trình gỡ lỗ hổng liên quan đến quy trình phát triển. Kiểm tra các tiện ích mở rộng tồn tại lỗ hổng, các nhà nghiên cứu cho rằng kẻ tấn công có thể lợi dụng chúng để thực hiện các cuộc tấn công chuỗi cung ứng.
Theo đó, lỗ hổng path traversal trong Instant Markdown có thể bị kẻ tấn công có quyền truy cập vào máy chủ web cục bộ để truy xuất bất kỳ tệp nào được lưu trữ trên máy tính bằng cách lừa nhà phát triển nhấp vào một URL độc hại.
Trong PoC, các nhà nghiên cứu chỉ ra rằng có thể khai thác lỗ hổng này để lấy cắp khóa SSH từ một nhà phát triển đang chạy VS Code và có cài tiện ích Instant Markdown hoặc Open in Default Browser trong IDE. Mặt khác, tiện ích LaTeX Workshop tồn tại lỗ hổng command injection cho phép chạy các mã độc hại.
Tiện ích mở rộng Rainbow Fart có lỗ hổng zip slip, cho phép kẻ tấn công ghi đè các tệp tùy ý trên máy tính của nạn nhân và thực thi mã từ xa. Trong một cuộc tấn công mô phỏng, một tệp ZIP được gửi qua endpoint "import-voice-package" được plugin sử dụng với mục đích ghi tệp nằm ngoài thư mục plugin hoạt động.
Các nhà nghiên cứu cảnh báo: "Cuộc tấn công này có thể được sử dụng để ghi đè lên các tệp như .bashrc và cuối cùng thực thi mã từ xa".
Mặc dù, các lỗ hổng trong các tiện ích mở rộng đã được vá, tuy nhiên sẽ rất nguy hiểm nếu kẻ tấn công sử dụng nhiều loại phần mềm độc hại để xâm phạm các công cụ và môi trường phát triển cho các chiến dịch khác.
Hương Mai
14:00 | 08/02/2021
20:00 | 13/03/2022
21:00 | 12/02/2021
16:00 | 11/12/2020
09:00 | 06/10/2021
10:00 | 19/09/2022
13:00 | 28/08/2024
Ngày 21/8, công ty dịch vụ dầu khí hàng dầu Mỹ Halliburton bị tấn công mạng, gây ảnh hưởng tới hoạt động kinh doanh và một số mạng kết nối toàn cầu.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
13:00 | 06/06/2024
Hàng loạt các ransomware như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt... đã nhắm mục tiêu vào cơ sở hạ tầng VMware ESXi theo một chuỗi hành động tương tự nhau.
16:00 | 30/05/2024
Các nhà nghiên cứu tới từ công ty bảo mật đám mây Zscaler (Mỹ) gần đây đã phân tích phiên bản HijackLoader mới có bổ sung các kỹ thuật lẩn tránh phát hiện. Bài viết này sẽ cùng khám phá về khả năng của phiên bản cập nhật này dựa trên báo cáo của Zscaler.
Công ty an ninh mạng McAfee thông báo đã phát hiện 280 ứng dụng Android giả mà đối tượng lừa đảo dùng để truy cập ví tiền ảo.
15:00 | 18/09/2024