Một nhà phát triển blockchain người Nga đã mất khoảng 500,000 đô la Mỹ tiền điện tử sau khi cài đặt một extension tô sáng cú pháp Solidity có vẻ hợp pháp cho Visual Studio Code. Sự cố này làm nổi bật những lỗ hổng bảo mật nghiêm trọng trong cách các nhà phát triển tin tưởng và cài đặt các extension mã nguồn, đặc biệt là trong các môi trường phát triển hỗ trợ AI như Cursor dựa vào các marketplace extension của bên thứ ba.
Cuộc tấn công bắt đầu khi nhà phát triển tải xuống một extension độc hại có tên astexplorer.js từ registry Open VSX, nơi cung cấp các extension cho các phiên bản fork của VSCode bao gồm Cursor AI. Mặc dù có ý thức bảo mật và sử dụng phần mềm diệt virus, nhà phát triển vẫn trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng tinh vi khai thác thuật toán xếp hạng của marketplace extension.
Phương thức tấn công kỹ thuật:
- Tệp độc hại:
astexplorer.jsnằm trong thư mục%UserProfile%\AppData\Local\temp - Tải xuống script PowerShell từ
img[.]yt-lu[.]xyz/install[.]ps1 - Cài đặt phần mềm truy cập từ xa ScreenConnect
- Triển khai phần mềm độc hại đánh cắp ví tiền điện tử nhắm vào MetaMask và các tệp ví cục bộ
 |
|---|
| Một hacker trong môi trường kỹ thuật số, minh họa các lỗ hổng bảo mật dẫn đến việc trộm cắp tiền điện tử số lượng lớn |
Thao Túng Thuật Toán Xếp Hạng Tạo Điều Kiện Lừa Đảo
Các kẻ tấn công đã thành công trong việc lợi dụng hệ thống xếp hạng tìm kiếm của Open VSX để làm cho extension độc hại của chúng xuất hiện cao hơn trong kết quả tìm kiếm so với phiên bản hợp pháp. Mặc dù extension giả có ít lượt tải xuống hơn (144,000+ so với 151,000+ của phiên bản hợp pháp), nó vẫn xếp hạng cao hơn do một số yếu tố bao gồm các bản cập nhật gần đây hơn và tối ưu hóa từ khóa. Phiên bản độc hại được cập nhật lần cuối vào ngày 18 tháng 6 năm 2021, trong khi extension hợp pháp không được cập nhật kể từ ngày 30 tháng 5 năm 2020. Sự thiên vị về tính gần đây này trong thuật toán xếp hạng đã giúp extension giả có được sự chú ý từ các nhà phát triển không nghi ngờ.
Extension lừa đảo thực tế không cung cấp bất kỳ chức năng tô sáng cú pháp nào, nhưng nhiều người dùng có thể không nhận ra sự cố này trong khi malware âm thầm thực thi trong nền.
Dòng thời gian tấn công:
- Tháng 6/2021: Extension độc hại được tải lên registry Open VSX
- Extension đạt hơn 144.000 lượt tải xuống trước khi bị phát hiện
- Ngày 2 tháng 7/2021: Extension bị gỡ bỏ khỏi marketplace
- Kẻ tấn công ngay lập tức phát hành extension độc hại mới vào ngày hôm sau
 |
|---|
| Hai nhà phát triển đang làm việc cùng nhau trên máy tính, làm nổi bật tính chất cộng tác của lập trình giữa những rủi ro bảo mật ẩn giấu |
Quyền Hạn Extension Không Hạn Chế Tạo Ra Rủi Ro Bảo Mật
Cuộc tấn công thành công vì các extension VSCode hoạt động mà không có các hạn chế bảo mật có ý nghĩa hoặc sandboxing. Các extension kế thừa tất cả các quyền mà editor chủ đã có, cho phép chúng truy cập toàn bộ hệ thống tập tin, thực thi các lệnh hệ thống và tải xuống malware bổ sung. Mô hình truy cập không hạn chế này có nghĩa là bất kỳ extension độc hại nào cũng có thể làm tổn hại toàn bộ môi trường phát triển.
Extension độc hại đã tải xuống và thực thi các script PowerShell cài đặt các công cụ truy cập từ xa như ScreenConnect, cho phép kẻ tấn công kiểm soát hoàn toàn máy tính của nạn nhân. Từ đó, chúng triển khai malware đánh cắp ví tiền điện tử nhắm vào các ví dựa trên trình duyệt như MetaMask và các tập tin ví cục bộ.
 |
|---|
| Những tiến bộ trong công nghệ, được mô tả ở đây, nhấn mạnh tầm quan trọng của các biện pháp bảo mật chống lại các mối đe dọa phần mềm độc hại tiềm ẩn trong môi trường phát triển |
Marketplace Extension Mã Nguồn Mở Thiếu Giám Sát Bảo Mật
Sự cố này phơi bày những khoảng trống bảo mật đáng kể trong Open VSX, marketplace extension do tình nguyện viên vận hành được sử dụng bởi các phiên bản thay thế VSCode như Cursor AI. Không giống như marketplace VSCode chính thức của Microsoft, có các đội bảo mật chuyên dụng và hệ thống phát hiện tự động, Open VSX hoạt động với nguồn lực hạn chế và quy trình kiểm tra tối thiểu.
Việc lợi dụng (và đổ lỗi cho) cơ sở hạ tầng tình nguyện là vô trách nhiệm, đặc biệt khi bạn có quá nhiều nguồn tài trợ.
Điều này tạo ra một tình huống đáng lo ngại khi các công ty tỷ đô la như Cursor AI (đã huy động được 900 triệu đô la Mỹ) dựa vào cơ sở hạ tầng do tình nguyện viên duy trì cho các chức năng bảo mật quan trọng. Eclipse Foundation, tổ chức giám sát Open VSX, thiếu nguồn lực để triển khai các biện pháp bảo mật toàn diện có thể so sánh với các phương án thương mại.
So sánh Bảo mật:
- Microsoft VSCode Marketplace: Có đội ngũ bảo mật chuyên biệt, phát hiện tự động, tuyên bố thời gian phản hồi 2 giây đối với các extension độc hại
- Open VSX Registry: Được vận hành bởi tình nguyện viên từ Eclipse Foundation , nguồn lực bảo mật hạn chế, quy trình kiểm duyệt tối thiểu
- Quyền hạn Extension: Cả hai marketplace đều cho phép extension truy cập không hạn chế vào hệ thống tập tin và mạng
Thực Hành Của Nhà Phát Triển Cần Thay Đổi Căn Bản
Vụ trộm tiền điện tử đặt ra những câu hỏi quan trọng về thực hành bảo mật phát triển. Nhiều nhà phát triển thường xuyên cài đặt các extension, gói npm và mã nguồn bên thứ ba khác mà không có đánh giá bảo mật kỹ lưỡng. Nạn nhân trong trường hợp này đang phát triển trên cùng một máy tính nơi anh ta lưu trữ số lượng lớn tiền điện tử, tạo ra một tình huống rủi ro cao không cần thiết.
Các chuyên gia bảo mật khuyến nghị sử dụng ví phần cứng để lưu trữ tiền điện tử, phát triển trong các container hoặc máy ảo cô lập, và kiểm tra cẩn thận tất cả các extension được cài đặt. Một số nhà phát triển đang áp dụng các cách tiếp cận cảnh giác hơn, bao gồm chạy môi trường phát triển trong các container Docker với quyền truy cập hệ thống tập tin bị hạn chế.
Sự cố này đóng vai trò như một lời nhắc nhở nghiêm khắc rằng hệ sinh thái phát triển phần mềm hiện đại phụ thuộc rất nhiều vào các mối quan hệ tin cậy với hàng nghìn gói và extension của bên thứ ba. Khi các cuộc tấn công chuỗi cung ứng trở nên tinh vi hơn, các nhà phát triển và các công ty xây dựng công cụ phát triển phải ưu tiên các biện pháp bảo mật phù hợp với quy mô của những rủi ro này.