Quan treballem amb qualsevol mena de programari, sigui el sistema operatiu, el navegador o bé qualsevol altra programa, la seguretat juga un paper clau. Fins i tot en utilitzar aplicacions relacionades amb la programació, hem de prendre algunes precaucions, com passa ara amb Visual Studio Code.

Us expliquem tot això perquè recentment s’ha descobert que la seguretat d’aquest IDE popular de Microsoft no és tan bona com hauria de ser. En aquests moments, s’acaben de descobrir una gran quantitat d’extensions malicioses de VSCode amb milions d’instal·lacions. De manera paral·lela s’ha vist que les mesures de seguretat preses pel gegant del programari en aquest projecte deixa molt a desitjar.

Això és degut al fet que un grup d’investigadors ha estudiat la seguretat del mercat de Visual Studio Code. De manera senzilla i a títol de prova han aconseguit infectar més de 100 empreses amb una còpia a manera de troià d’una extensió popular per a Visual Studio Code.

Alhora, recerques posteriors del mercat de VSCode han trobat milers d’extensions malicioses amb milions d’instal·lacions. Ja sabeu que Visual Studio Code o VSCode és un editor de codi font de Microsoft que fan servir molts desenvolupadors d’arreu del món. A més l’empresa gestiona un mercat d’extensions per a IDE anomenat Visual Studio Code Marketplace.

Aquí trobem complements que amplien la funcionalitat de l’aplicació i proporcionen opcions de personalització. Però la seguretat d’aquests complements no és l’esperada, com demostra la prova feta pels investigadors esmentats. De fet, hi ha informes que posen de manifest llacunes importants en la seguretat a VSCode.

D’aquesta manera, permeten la suplantació d’extensions i editors que roben tokens d’autenticació dels desenvolupadors.

La vulnerabilitat de VSCode s’ha demostrat d’aquesta manera

Per al seu experiment, els investigadors van crear una extensió que en realitat és una còpia del tema Dràcula Oficial. Aquest és l’esquema popular de colors per a diverses aplicacions que tenen més de 7 milions d’instal·lacions a VSCode Marketplace. Dràcula és un complement utilitzat per un gran nombre de desenvolupadors pel seu mode fosc visualment atractiu i la seva paleta de colors de contrast alt. Això és molt útil per evitar la fatiga visual durant llargues sessions de codificació.

Doncs bé, aquests investigadors han llançat al mercat de VSCode una extensió falsa anomenada Darcula. Fins i tot van registrar un domini que es va fer servir per convertir-se en un editor verificat a VSCode Marketplace. Això va afegir credibilitat a l’extensió falsa.

L’extensió utilitza el codi real del tema legítim, però també inclou un script que recopila informació del sistema. Una vegada llançada al mercat de Visual Studio Code, van descobrir que el codi maliciós no va  ser detectat per les eines de detecció i resposta de VSCode. D’aquesta manera, l’extensió no va trigar a guanyar adeptes, i es va instal·lar a múltiples equips de grans empreses, entre d’altres.

Com no podia ser d’una altra manera, els investigadors han optat per no revelar els noms de les empreses afectades. A més, cal saber que l’experiment no tenia intencions malicioses, només es va dur a terme per demostrat la inseguretat del mercat de l’IDE.

Després d’investigar, van trobar gairebé 1300 extensions amb codi maliciós i amb centenars de milions d’instal·lacions. D’aquesta manera, van arribar a la conclusió que la manca de controls i mecanismes de revisió de codi per part de Microsoft a VSCode Marketplace permet que els actors maliciosos portin a terme un abús de la plataforma. De fet, aquesta mena de mals usos està creixent i Microsoft hi hauria d’intervenir.