แสดงบทความที่มีป้ายกำกับ VScode แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ VScode แสดงบทความทั้งหมด

03/03/2568

VS Code Extension ถูกฝังโค้ดที่เป็นอันตรายโจมตีเพื่อโจมตีนักพัฒนา ถูกติดตั้งไปแล้วกว่า 9 ล้านครั้ง


    Microsoft ได้ลบ extensions ของ Visual Studio Code (VS Code) ที่มีการใช้งานอย่างแพร่หลาย 2 รายการ ได้แก่ “Material Theme Free” และ “Material Theme Icons Free” ออกจาก Marketplace หลังจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่ามีโค้ดอันตรายฝังอยู่ภายใน
    Extensions เหล่านี้ได้รับการพัฒนาโดย Mattia Astorino (หรือที่รู้จักในชื่อ equinusocio) และมียอดติดตั้งรวมกันเกือบ 9 ล้านครั้ง โดยมีการดาวน์โหลด extensions ทั้งหมดของ Astorino รวมกว่า 13 ล้านครั้ง
หลังจากการลบ extensions ออก ผู้ใช้งานจะได้รับการแจ้งเตือนว่ามีการปิดใช้งาน extensions เหล่านี้ด้วยเหตุผลด้านความปลอดภัย
    การตรวจสอบพบว่าโค้ดอันตรายมีแนวโน้มที่จะถูกเพิ่มเข้ามาผ่านไลบรารีที่ถูกโจมตี หรือระหว่างการอัปเดตล่าสุด แสดงให้เห็นถึงความเป็นไปได้ของการโจมตีแบบ Supply Chain Attack หรือการเข้าถึงบัญชีของนักพัฒนาโดยไม่ได้รับอนุญาต
    ผู้เชี่ยวชาญพบว่าธีมใน VS Code ควรจะประกอบไปด้วยไฟล์ JSON ที่เป็นข้อมูลสถิติตามปกติ ไม่ควรมีการเรียกโค้ด หรือสคริปต์ใด ๆ ดังนั้นการซ่อน JavaScript ภายใน extensions เหล่านี้จึงเป็นสัญญาณอันตรายที่สำคัญ

Malicious Intent Uncovered
    พฤติกรรมอันตรายได้รับการแจ้งเตือนครั้งแรกโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Amit Assaraf และ Itay Kruk ซึ่งเชี่ยวชาญในการตรวจจับ VS Code extensions ที่เป็นอันตราย


    การวิเคราะห์พบว่าโค้ดที่ซ่อน JavaScript ใน extensions เหล่านี้ รวมถึงการอ้างอิงถึงชื่อผู้ใช้งาน และรหัสผ่าน
    แม้ว่าจุดประสงค์ที่แท้จริงของโค้ดนี้จะยังไม่สามารถระบุได้ เนื่องจากความซับซ้อนของเหตุการณ์ แต่การมีอยู่ของโค้ดก็เพียงพอที่จะทำให้ Microsoft ต้องดำเนินการทันที
    Astorino ปฏิเสธข้อกล่าวหาการกระทำผิดโดยเจตนา โดยชี้แจงว่าปัญหานี้เกิดจากไลบรารี Sanity.io ที่ล้าสมัย ซึ่งใช้งานมาตั้งแต่ปี 2016 และได้วิจารณ์ Microsoft ที่ไม่แจ้งเตือนพวกเขาก่อนที่จะลบ extensions ออก โดยอ้างว่าการแก้ไขไลบรารีจะเป็นกระบวนการที่รวดเร็วกว่า
    อย่างไรก็ตาม การวิเคราะห์ของ Microsoft ยืนยันผลการค้นพบของผู้เชี่ยวชาญ ซึ่งนำไปสู่การลบ extensions ทั้งหมดที่เกี่ยวข้องกับ Astorino ออกจาก Marketplace

ความเสี่ยงที่อาจเกิดขึ้น และคำแนะนำ
    เหตุการณ์ดังกล่าวแสดงให้เห็นถึงความเสี่ยงที่เกิดจาก components ที่เป็นอันตรายใน supply chains ของซอฟต์แวร์
    ผู้ไม่ประสงค์ดีดีมักใช้ประโยชน์จากแพลตฟอร์มโอเพ่นซอร์ส เช่น VS Code Marketplace เพื่อแพร่กระจายโค้ดที่เป็นอันตรายใน extensions ที่ดูเหมือนจะถูกต้อง ในกรณีนี้นักพัฒนาที่ติดตั้ง extensions ที่ถูกโจมตีเหล่านี้อาจไม่รู้ตัวว่ากำลังเปิดเผยข้อมูลที่สำคัญ หรือระบบให้เสี่ยงต่อการถูกโจมตี
เพื่อลดความเสี่ยง นักพัฒนาควรถอนการติดตั้ง extensions ทั้งหมดที่เผยแพร่โดย equinusocio รวมถึง
  • equinusocio.moxer-theme
  • equinusocio.vsc-material-theme
  • equinusocio.vsc-material-theme-icons
  • equinusocio.vsc-community-material-theme
  • equinusocio.moxer-icons
    เหตุการณ์นี้แสดงให้เห็นถึงความสำคัญของการตรวจสอบไลบรารีจาก third-party และการรักษามาตรการด้านความปลอดภัยใน Supply chain นักพัฒนาควรทำการตรวจสอบเครื่องมือของตนเป็นประจำ และหลีกเลี่ยงการติดตั้ง extensions ที่มีโค้ดที่น่าสงสัย


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

16/09/2567

ผู้ไม่ประสงค์ดีชาวจีนใช้ประโยชน์จาก Visual Studio Code ในการโจมตีทางไซเบอร์ในเอเชียตะวันออกเฉียงใต้


    กลุ่ม Mustang Panda ซึ่งเป็นกลุ่มผู้ไม่ประสงค์ดีแบบ advanced persistent threat (APT) ที่มีความเชื่อมโยงกับรัฐบาลจีน มีการนำซอฟต์แวร์ Visual Studio Code มาใช้ในการโจมตีเพื่อขโมยข้อมูล โดยมีเป้าหมายคือ หน่วยงานของรัฐบาลในทวีปในเอเชียตะวันออกเฉียงใต้
    Tom Fakterman นักวิจัยจาก Palo Alto Networks Unit 42 ระบุว่า "ผู้ไม่ประสงค์ดีรายนี้ใช้ฟีเจอร์ Reverse Shell ที่อยู่ใน Visual Studio Code เพื่อเข้าถึงในเครือข่ายเป้าหมาย โดยถือว่าเป็นเทคนิคที่ค่อนข้างใหม่ ที่ได้รับการสาธิตครั้งแรกในเดือนกันยายน 2023 โดย ทรูวิส ธอร์นตัน"
    แคมเปญนี้ได้รับการประเมินว่าเป็นการสานต่อการโจมตีที่เคยมีก่อนหน้านี้ในช่วงปลายเดือนกันยายน 2023 ซึ่งมีเป้าหมายไปยังหน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้ และไม่ได้มีการระบุชื่อหน่วยงาน
กลุ่ม Mustang Panda ที่รู้จักกันในชื่อ BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta และ Red Lich ได้ปฏิบัติการมาตั้งแต่ปี 2012 โดยมักจะโจมตีไปยังเป้าหมายที่เป็นหน่วยงานของรัฐ และองค์กรศาสนาทั่วทั้งยุโรป และเอเชีย โดยเฉพาะหน่วยงานที่ตั้งอยู่ในประเทศแถบทะเลจีนใต้
    จากการตรวจสอบการโจมตีล่าสุด พบว่ามีการใช้ reverse shell ของ Visual Studio Code เพื่อเรียกใช้โค้ดที่ต้องการ และมีการส่ง additional payloads ในการโจมตี
    Fakterman ระบุว่า หากมีการใช้ Visual Studio Code ในการโจมตี ผู้ไม่ประสงค์ดีจะทำการใช้ code.exe ในรูปแบบ portable version (ไฟล์ปฏิบัติการสำหรับ Visual Studio Code) หรืออาจใช้ซอฟต์แวร์ เวอร์ชันที่มีการติดตั้งไว้แล้ว ทำการเรียกใช้คำสั่ง code.exe ทำให้ผู้ไม่ประสงค์ดีได้รับลิงก์การเข้าสู่ระบบ GitHub ด้วยบัญชีของตนเอง


    เมื่อขั้นตอนนี้เสร็จสมบูรณ์ ผู้ไม่ประสงค์ดีจะถูกเปลี่ยนเส้นทางไปยังเว็บ Visual Studio Code ที่เชื่อมต่อกับเครื่องที่ถูกโจมตี ซึ่งทำให้สามารถเรียกใช้คำสั่ง หรือสร้างไฟล์ใหม่ได้
 การโจมตีที่ใช้รูปแบบ หรือเทคนิคนี้ เคยถูกแจ้งเตือนจากบริษัทความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ที่ชื่อว่า Mnemonic เมื่อต้นปีที่ผ่านมา โดยมีความเกี่ยวข้องกับการโจมตีช่องโหว่ในผลิตภัณฑ์เกตเวย์ Network Security ของ Check Point (CVE-2024-24919, คะแนน CVSS: 8.6)
    Unit 42 ระบุว่า กลุ่มผู้ไม่ประสงค์ดี Mustang Panda ใช้เทคนิคนี้เพื่อส่งมัลแวร์ รวบรวม และขโมยข้อมูลที่สำคัญ นอกจากนี้ผู้ไม่ประสงค์ดียังระบุอีกว่าได้ใช้ OpenSSH ในการเรียกใช้คำสั่ง ถ่ายโอนไฟล์ และแพร่กระจายมัลแวร์ไปทั่วเครือข่าย
    ทั้งนี้ จากการวิเคราะห์ environment ระบุได้ว่า การโจมตีทั้งสองรูปแบบเกิดขึ้นพร้อม ๆ กัน และบางครั้งก็เกิดขึ้นที่เป้าหมายเดียวกัน รวมถึงมีการใช้มัลแวร์ ShadowPad ซึ่งเป็น modular backdoor ของจีนที่ใช้โจมตีกันอย่างแพร่หลาย
    ปัจจุบัน ยังไม่ชัดเจนว่าการโจมตีทั้งสองรูปแบบเกี่ยวข้องกันหรือไม่ หรือเป็นกลุ่มที่แตกต่างกันสองกลุ่มคอยสนับสนุนการเข้าถึงของกันและกัน
    จากข้อมูลการ forensic evidence และ timeline อาจสรุปได้ว่าการโจมตีทั้งสองรูปแบบนี้เกิดจากผู้ไม่ประสงค์ดีรายเดียวกัน (Stately Taurus) นักวิจัย Fakterman ระบุว่า อาจจะมีข้อมูลที่พอจะระบุความเกี่ยวข้องของเหตุการณ์การโจมตีนี้ได้ เช่น การพยายามร่วมมือกันระหว่างผู้ไม่ประสงค์ดี APT ของจีนทั้งสองกลุ่ม

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

24/05/2566

Extension อันตรายบน Microsoft VSCode หลอกขโมยรหัสผ่าน และเปิดช่องทาง remote shells


    กลุ่มผู้ไม่หวังดีมุ่งเป้าโจมตี VSCode Marketplace ของ Microsoft โดยอัปโหลด extension Visual Studio ที่เป็นอันตราย 3 รายการ โดยมีนักพัฒนาบน Windows ดาวน์โหลดไปแล้วกว่า 46,600 ครั้ง
    จากรายงานของ Check Point นักวิเคราะห์พบ extension ที่เป็นอันตราย และรายงานไปยัง Microsoft ว่า extension ดังกล่าวทำให้แฮ็กเกอร์สามารถขโมยข้อมูล credentials, ข้อมูลระบบ และสร้างช่องทาง remote shell บนเครื่องของเหยื่อ Extension ถูกพบ และรายงานเมื่อวันที่ 4 พฤษภาคม 2023 และต่อมาก็ถูกลบออกจาก VSCode Marketplace ในวันที่ 14 พฤษภาคม 2023
    Visual Studio Code (VSC) เป็น source-code editor ที่เผยแพร่โดย Microsoft และถูกใช้งานจากนักพัฒนาซอฟต์แวร์มืออาชีพจำนวนมากทั่วโลก
    Microsoft ยังดำเนิน extensions market สำหรับ IDE ที่เรียกว่า VSCode Marketplace ซึ่งมีโปรแกรมเสริมมากกว่า 50,000 รายการที่ขยายการรองรับการทำงานของแอปพลิเคชัน และมีตัวเลือกสำหรับการปรับแต่งเพิ่มเติม

extension ที่เป็นอันตรายที่ค้นพบโดยนักวิจัยของ Check Point มีดังต่อไปนี้ :
    Theme Darcula dark – extension นี้ใช้เพื่อขโมยข้อมูลพื้นฐานเกี่ยวกับระบบของผู้พัฒนา, รวมถึงชื่อ Host ระบบปฏิบัติการ, แพลตฟอร์ม, CPU, หน่วยความจำทั้งหมด และข้อมูลเกี่ยวกับ CPU แม้ว่า extension จะยังไม่มีพฤติกรรมที่เป็นอันตรายอื่น ๆ แต่ก็ไม่ใช่ลักษณะการทำงานทั่วไป โดย extension นี้มีการดาวน์โหลดมากที่สุด โดยมีการดาวน์โหลดไปแล้วมากกว่า 45,000 ครั้ง


  • python-vscode – extension นี้ถูกดาวน์โหลด 1,384 ครั้ง แม้ไม่มีคำอธิบายรายละเอียดของ extension และชื่อผู้อัปโหลดเป็น 'testUseracc1111' ซึ่งจากการวิเคราะห์โค้ดแสดงให้เห็นว่าเป็น C# shell injector ที่สามารถรันโค้ด หรือคำสั่งบนเครื่องของเหยื่อได้
  • prettiest java – ชื่อ และคำอธิบายของ extension สร้างขึ้นเพื่อเลียนแบบเครื่องมือจัดรูปแบบโค้ด 'prettier-java' ที่เป็นที่นิยม โดย extension นี้จะขโมยข้อมูล credentials หรือโทเค็นการตรวจสอบสิทธิ์ที่บันทึกไว้จาก Discord และ Discord Canary, Google Chrome, Opera, Brave Browser และ Yandex Browser ซึ่งถูกส่งไปยังผู้โจมตีผ่าน webhook Discord โดย extension นี้มีการติดตั้งไปแล้ว 278 ครั้ง
   นอกจากนี้ Check Point ยังพบ extension ที่น่าสงสัยอีกหลายรายการ ซึ่งยังไม่สามารถระบุได้ว่าเป็นอันตราย แต่มีพฤติกรรมที่ผิดปกติ เช่น การดึงโค้ดจากที่เก็บส่วนตัว หรือการดาวน์โหลดไฟล์
    ที่เก็บซอฟต์แวร์ที่อนุญาตให้ผู้ใช้มีส่วนร่วม เช่น NPM และ PyPi ได้รับการพิสูจน์ว่ามีความเสี่ยงในการใช้งานเนื่องจากกลายเป็นเป้าหมายที่ได้รับความนิยมจากแฮ็กเกอร์ ในขณะที่ VSCode Marketplace เพิ่งเริ่มตกเป็นเป้าหมาย โดยนักวิจัยจาก AquaSec ได้ทดสอบในเดือนมกราคมพบว่าการอัปโหลด extension ที่เป็นอันตรายไปยัง VSCode Marketplace นั้นค่อนข้างง่าย และแนะนำพฤติกรรมที่อาจเป็นอันตรายในลักษณะอื่น ๆ อย่างไรก็ตามในเวลานั้นยังไม่พบ extension ที่เป็นลักษณะมัลแวร์

คำแนะนำ
    ให้ติดตั้งเฉพาะ ที่มาจากแหล่งที่เชื่อถือได้ ซึ่งมีการดาวน์โหลด และการให้คะแนนจำนวนมากโดยชุมชนนักพัฒนา อ่านบทวิจารณ์ของผู้ใช้ และตรวจสอบซอร์สโค้ดของ extension ทุกครั้งก่อนทำการติดตั้ง

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,
สมัครสมาชิก: บทความ (Atom)