Ekstensi VSCode Berbahaya, Bisa Curi Informasi Kredensial Sampai Akses Perangkat Jarak Jauh
Penjahat dunia maya menyebarkan ekstensi berbahaya dengan menargetkan pasar ekstensi Visual Studio Code (VSCode). Menurut Ilay Goldman, seorang peneliti keamanan di Aqua, ekstensi tersebut dapat berfungsi sebagai titik masuk untuk serangan terhadap banyak organisasi. Berdasarkan penelitian yang dilakukan, sebuah studi StackOverflow mengungkapkan bahwa 74,48% pengembang menggunakan VSCode, menjadikannya IDE paling populer sejauh ini.
Baca Juga : Hacker Pakai Greatness, Pelaku Bisnis yang Menggunakan Layanan Cloud Microsoft 365 Terancam
Dilansir dari Information Security Buzz, Aqua telah menemukan bahwa meskipun penyerang pasar dapat menggunakan nama yang sama dengan informasi penerbit ekstensi asli, termasuk informasi repositori proyek, pelaku ancaman dapat memalsukan ekstensi populer dengan membuat sedikit perubahan pada URL. Fakta bahwa tidak ada batasan pada properti tag lain berarti metode ini dapat digunakan untuk menipu pengembang, meskipun mencegah penyalinan instalasi dan jumlah bintang. Centang hanya menunjukkan bahwa penerbit ekstensi adalah pemilik sah domain tersebut. Oleh karena itu, studi tersebut menyatakan, gelar pendukung yang diberikan kepada penulis dapat dengan mudah dihindari. Dengan kata lain, pelaku jahat dapat membeli domain apa pun, mendaftarkannya untuk mendapatkan centang terverifikasi, lalu mengunggah ekstensi “Trojan” dengan nama yang sama dengan ekstensi di pasar.
Kerentanan sebelumnya dalam Ekstensi Kode Visual Studio
Pada Mei 2021, dengan jutaan unduhan, perusahaan keamanan perusahaan Snyk menemukan serangkaian kerentanan di ekstensi VS Code yang populer. Pelaku ancaman mungkin telah mengeksploitasi kerentanan ini untuk mendapatkan akses ke lingkungan pengembang.
Saat pengembang membuka “file a.tex” di editor, salah satu ekstensi yang rentan, Lokakarya LaTeX, yang memiliki sekitar 1,2 juta pemasangan, membuat server HTTP dan server WebSocket yang memungkinkan mereka melihat pratinjau PDF – Mengizinkan file dalam format .browser Namun, karena input klien WebSocket untuk membuka metode VS Code API eksternal tidak dibersihkan, ekstensi rentan terhadap injeksi perintah, yang dapat dimanfaatkan oleh situs web jahat yang dapat terhubung ke server WebSocket lokal ekstensi. Bug traversal rute ditemukan di ekstensi Open in Default Browser, yang meluncurkan server HTTP untuk mempratinjau halaman di browser. Penjahat dapat mengeksploitasi bug ini untuk mencuri data dari sistem. Muatan skrip lintas situs dapat dibuat untuk membantu proses, sementara menerapkan kebijakan asal yang sama mencegah eksploitasi.
Baca Juga : Demi Tingkatkan Keamanan Informasi, Google Hapus Akun yang Lama Tidak Aktif
Pasar VSCode sekarang rentan
Peneliti telah mengeluarkan peringatan yang mengatakan bahwa sementara peneliti keamanan belum terlalu memperhatikan ekstensi Visual Studio Code, pelaku ancaman terus mencari cara baru untuk menembus jaringan perusahaan. “Pada akhirnya, ekstensi VSCode yang berbahaya menjadi perhatian. Mungkin itu tidak menarik banyak perhatian di masa lalu karena kami belum melihat kampanye yang memiliki dampak signifikan,” simpulan dari laporan AquaSec. Namun, penyerang terus bekerja untuk meningkatkan kemampuan menjalankan malware berbahaya di jaringan perusahaan. Lebih buruk lagi, menurut AquaSec, Microsoft sekarang menawarkan pasar untuk ekstensi Visual Studio dan Azure DevOps, keduanya tampaknya terbuka untuk ekstensi berbahaya.
