Фейковые VSCode-расширения используются в атаках на разработчиков

Екатерина Быстрова 09 Января 2023 - 11:46

...

Фейковые VSCode-расширения используются в атаках на разработчиков

Специалисты Aqua обратили внимание на интересный вектор атаки, которым злоумышленники пользуются в новых кампаниях, нацеленных на разработчиков и цепочки поставок софта. В магазин расширений для Visual Studio Code загружаются вредоносные копии.

Илай Гольдман из Aqua объясняет в отчёте:

«Эта техника может использоваться в качестве точки входа при атаках на многие организации».

Расширения для VS Code распространяются через специальный маркетплейс, запущенный Microsoft. Магазин позволяет разработчикам добавлять языки программирования, отладчики и инструменты в редактор исходного кода.

«Все расширения работают с правами пользователя, открывшего VSCode, и без какой-либо песочницы. Это значит, что условное расширение может устанавливать любую программу на устройство, включая шифровальщики, вайперы и т. п.», — дополняет Гольдман.

В ходе исследования эксперт Aqua выяснил, что злоумышленники могут замаскировать вредоносное расширение под легитимное, добавив незначительные вариации в URL. Магазин также позволяет указать аналогичное имя, разработчика, описание и информацию о репозитории, что идеально подходит для маскировки.

Единственное, по чему можно отличить подделку от оригинального расширения, — число установок и рейтинг. Более того, атакующие даже могут обойти значок верификации, подтверждающий аутентичность разработчика.

Проще говоря, киберпреступник может купить любой домен, зарегистрировать его для получения галочки и загрузить троянизированную версию легитимного расширения. Гольдман создал proof-of-concept (PoC) в виде аддона, замаскированного под утилиту Prettier. За 48 часов приманку скачали более тысячи девелоперов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Ноября 2025 - 15:29

Security Vision 5 VM Security Vision a-SGRC Security Vision CRS Security Vision IRP Security Vision SGRC Security Vision SOC Security Vision КИИ Корпорации Сетевая безопасность Security Vision

В платформе Security Vision расширили возможности автоматизации

Вышел новый релиз платформы Security Vision, в котором разработчики сосредоточились на повышении удобства повседневной работы специалистов, расширении возможностей автоматизации и учёте требований регуляторов.

Навигация и интерфейс

Теперь разделы «История запуска коннекторов» и «Расписания запуска коннекторов» объединены внутри модуля «Коннекторы». Обновлены представления «Дерево» и «Таблица», а также добавлены настройки по умолчанию для кратких и полных карточек в справочниках — интерфейс стал лаконичнее, а работа с повторяющимися элементами быстрее.

Аналитика и визуализация

В системе появилось версионирование виджетов — при добавлении их в дашборды или отчёты автоматически используется актуальная версия. Для популярных типов графиков и диаграмм теперь можно использовать данные блока как источник переменной, что делает визуализацию более гибкой.

Также добавлены новые операции с переменными, включая сдвиг дат (например, к началу или концу недели и месяца) и кодирование/декодирование Base64.

Рабочие процессы и отчёты

В действии «Создать отчёт» появился выбор между шаблонным документом и созданием отчёта с нуля в редакторе. Это ускоряет подготовку материалов и сокращает количество шаблонов, которые нужно сопровождать.

Теперь можно формировать отчёты из обычных текстовых файлов с тегами — система автоматически подставляет нужные данные. Также расширены возможности переопределения входных параметров в рабочих процессах, что делает их более универсальными.

Интеграции и коннекторы

В HTTP-коннекторе теперь можно указывать произвольный Content-Type, включая форматы для CSV-интеграций. В коннекторе «Почта» реализован поиск по регулярным выражениям внутри архивов вложений — нужные файлы можно извлекать без ручной распаковки.

Безопасность и контроль

В журнале аудита у каждой записи теперь есть уникальный идентификатор события — это помогает соответствовать требованиям по журналированию. Появилось предупреждение о скором завершении сессии и настройка режима единственной активной пользовательской сессии, что усиливает контроль доступа.

Администрирование и установка

В мастере установки теперь можно задать путь для сохранения логов развёртывания — это упрощает диагностику и анализ установки как на тестовых, так и на промышленных стендах.

Обновление делает Security Vision более удобной для специалистов и ближе к требованиям корпоративной и регуляторной безопасности.