Theo đó, một số tiện ích mở rộng như LaTeX Workshop, Rainbow Fart, Open in Default Browser và Instant Markdown có thể bị khai thác để thực thi mã tùy ý từ xa trên hệ thống của nhà phát triển, dẫn đến các cuộc tấn công chuỗi cung ứng. Các tiện ích này đã có đến hơn 2 triệu lượt người dùng cài đặt
Các nhà nghiên cứu của Synk cho biết: "Máy tính của nhà phát triển thường giữ các thông tin xác thực quan trọng, cho phép kẻ tấn công tương tác trực tiếp hoặc gián tiếp với nhiều phần của sản phẩm. Việc rò rỉ khóa riêng tư của nhà phát triển có thể cho phép kẻ tấn công sao chép cơ sở mã của thành phần quan trọng hoặc thậm chí kết nối với các máy chủ sản xuất".
Các tiện ích mở rộng VSCode giống như tiện ích bổ sung của trình duyệt, cho phép nhà phát triển sử dụng hiệu quả trình soạn thảo mã nguồn Microsoft Visual Studio Code với các tính năng bổ sung như ngôn ngữ lập trình và trình gỡ lỗ hổng liên quan đến quy trình phát triển. Kiểm tra các tiện ích mở rộng tồn tại lỗ hổng, các nhà nghiên cứu cho rằng kẻ tấn công có thể lợi dụng chúng để thực hiện các cuộc tấn công chuỗi cung ứng.
Theo đó, lỗ hổng path traversal trong Instant Markdown có thể bị kẻ tấn công có quyền truy cập vào máy chủ web cục bộ để truy xuất bất kỳ tệp nào được lưu trữ trên máy tính bằng cách lừa nhà phát triển nhấp vào một URL độc hại.
Trong PoC, các nhà nghiên cứu chỉ ra rằng có thể khai thác lỗ hổng này để lấy cắp khóa SSH từ một nhà phát triển đang chạy VS Code và có cài tiện ích Instant Markdown hoặc Open in Default Browser trong IDE. Mặt khác, tiện ích LaTeX Workshop tồn tại lỗ hổng command injection cho phép chạy các mã độc hại.
Tiện ích mở rộng Rainbow Fart có lỗ hổng zip slip, cho phép kẻ tấn công ghi đè các tệp tùy ý trên máy tính của nạn nhân và thực thi mã từ xa. Trong một cuộc tấn công mô phỏng, một tệp ZIP được gửi qua endpoint "import-voice-package" được plugin sử dụng với mục đích ghi tệp nằm ngoài thư mục plugin hoạt động.
Các nhà nghiên cứu cảnh báo: "Cuộc tấn công này có thể được sử dụng để ghi đè lên các tệp như .bashrc và cuối cùng thực thi mã từ xa".
Mặc dù, các lỗ hổng trong các tiện ích mở rộng đã được vá, tuy nhiên sẽ rất nguy hiểm nếu kẻ tấn công sử dụng nhiều loại phần mềm độc hại để xâm phạm các công cụ và môi trường phát triển cho các chiến dịch khác.
Hương Mai
14:00 | 08/02/2021
20:00 | 13/03/2022
21:00 | 12/02/2021
16:00 | 11/12/2020
09:00 | 06/10/2021
10:00 | 19/09/2022
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
10:00 | 12/12/2024