Los investigadores de Aqua Security descubrieron que los piratas informáticos están utilizando Visual Studio Marketplace para realizar ataques a la cadena de suministro. En un nuevo informe, los investigadores descubrieron que los atacantes podrían hacerse pasar por extensiones populares de VS Code para engañar a los desarrolladores para que descarguen versiones maliciosas. VS Code es el IDE más popular, con alrededor del 74,48 por ciento de los desarrolladores que lo utilizan. La amplia gama de extensiones disponibles para VS Code es en parte lo que impulsa su popularidad. Estas son algunas de las extensiones de VS Code más populares:
“Es un desafío incluso para los desarrolladores conscientes de la seguridad distinguir entre extensiones maliciosas y benignas”, explica Ilay Goldman, investigador de seguridad en Aqua Security. “Cuando se tiene en cuenta que cualquiera puede crear un usuario incluso con un correo electrónico temporal, la verdad es que cualquiera puede publicar una extensión que podría estar listada en el Marketplace”. Aqua Security subió una prueba de concepto que se hace pasar por una extensión legítima:
La aplicación de enmascaramiento también se aprovecha de “typosquatting” (hacer un error tipográfico simple) en la URL. “Al escribir ‘pretier’, lo que los desarrolladores podrían hacer sin darse cuenta, nuestra extensión enmascarada es el único resultado”, agrega Goldman. Los investigadores también destacan las preocupaciones sobre el procedimiento de verificación. Se muestra una marca de verificación azul no para los autores que se verifican como quienes dicen ser, como era de esperar, sino simplemente para que el editor tenga la propiedad comprobada de cualquier dominio. Los paquetes maliciosos se cargan regularmente en administradores de paquetes como NPM. Aqua Security señala la posibilidad de que los desarrolladores de extensiones legítimos vean comprometido su trabajo al usar un paquete malicioso como dependencia. Los hallazgos de Aqua Security muestran que es más importante que nunca verificar tres veces las extensiones que instala y los paquetes que usa. (Foto de Mohammad Rahmani en Unsplash)
¿Quiere aprender más sobre ciberseguridad y la nube de los líderes de la industria? Eche un vistazo a Cyber Security & Cloud Expo que tendrá lugar en Ámsterdam, California y Londres. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí. Etiquetas: ciberseguridad, piratería, infosec, seguridad, cadena de suministro, ataque a la cadena de suministro, código de estudio visual, mercado de estudio visual, código vs
Los días felices de la PDA y Blackberry han quedado definitivamente atrás, pero el factor…
Tutorial sobre cómo pronosticar usando un modelo autorregresivo en PythonFoto de Aron Visuals en UnsplashForecasting…
Si tienes un iPhone, los AirPods Pro son la opción obvia para escuchar música, ¡aunque…
Ilustración de Alex Castro / The Verge Plus nuevos rumores sobre el quinto Galaxy Fold.…
Se rumorea que los auriculares premium de próxima generación de Apple, los AirPods Max 2,…
El desarrollador Motive Studio y el editor EA han lanzado un nuevo tráiler de la…