Uma investigação recente da Wiz revelou uma vulnerabilidade preocupante em extensões para Visual Studio (VS) disponíveis em marketplaces abertos, como o VSCode Marketplace da Microsoft e o OpenVSX. Desenvolvedores desatentos têm incluído, nessas extensões, tokens de acesso e outros segredos que podem ser explorados por agentes maliciosos, colocando em risco a segurança de dados sensíveis e abrindo caminho para ataques à cadeia de suprimentos.

O tamanho do problema

A pesquisa da Wiz identificou mais de 550 segredos validados, distribuídos em mais de 500 extensões de centenas de editores. Entre os dados expostos, estavam credenciais de acesso a plataformas de IA como OpenAI, Gemini e Anthropic, além de segredos de plataformas de alto risco como AWS, GitHub, Stripe, Auth0 e Google Cloud Platform, e credenciais de bancos de dados como MongoDB, Postgres e Supabase. Além disso, foram encontrados mais de 100 tokens de acesso pessoal válidos do Azure DevOps em extensões do VSCode Marketplace, representando uma base de instalação de mais de 85.000 extensões.

As causas da vulnerabilidade

A principal causa do vazamento de segredos foi a inclusão, por parte dos desenvolvedores, de arquivos ocultos (dotfiles) em suas extensões. A quantidade de arquivos .env foi particularmente notável, mas também foram encontradas credenciais embutidas no código-fonte das extensões. Durante a investigação, os pesquisadores da Wiz observaram um aumento no vazamento de segredos por meio de arquivos de configuração relacionados à IA, como config.json e .cursorrules. Outras fontes comuns de vazamento incluíram configurações de construção (por exemplo, package.json) e documentação, como README.md.

A resposta das plataformas

Após a descoberta da vulnerabilidade, a Microsoft e a Wiz lançaram uma campanha de notificação para alertar os editores afetados e ajudá-los a resolver as vulnerabilidades. A Microsoft também integrou recursos de verificação de segredos antes da publicação de extensões em seu marketplace e agora bloqueia extensões com segredos verificados, notificando os proprietários quando segredos são detectados. O OpenVSX também está adicionando um prefixo (ovsxp_) aos seus tokens.

O risco de ataques à cadeia de suprimentos

A situação se agrava com a possibilidade de agentes maliciosos explorarem esses marketplaces para envenenar a cadeia de suprimentos de extensões, da mesma forma que têm tentado, muitas vezes com sucesso, plantar código malicioso em repositórios como NPM e GitHub. A investigação da Wiz foi desencadeada pela descoberta, em fevereiro, de uma tentativa de introduzir malware no VSCode Marketplace em um ataque clássico à cadeia de suprimentos, que poderia ter se espalhado amplamente.

Um invasor que explorasse essa fraqueza na segurança da plataforma poderia distribuir malware diretamente para uma base de instalação de 150.000 usuários, de acordo com o relatório da Wiz. Esse cenário demonstra a importância de os desenvolvedores serem mais cuidadosos ao higienizar seu código antes de publicá-lo em marketplaces abertos, e de os diretores de segurança (CSOs) garantirem que as extensões usadas por seus desenvolvedores sejam cuidadosamente examinadas.

A importância da segurança no desenvolvimento

Desenvolvedores são alvos privilegiados de ataques, e muitas vezes não percebem que as extensões que instalam, mesmo as aparentemente inofensivas, têm acesso total ao seu código e podem fazer modificações sem informar explicitamente o desenvolvedor. Marketplaces de extensões são apenas mais um repositório de código de terceiros, e sofrem da mesma falta de supervisão e revisão que outros repositórios. Ao instalar uma extensão, o desenvolvedor executa o código e fornece à extensão acesso persistente e abrangente à sua base de código.

Recomendações

Para mitigar os riscos associados a extensões vulneráveis, a Wiz recomenda que os usuários do VSCode limitem o número de extensões instaladas, avaliem os critérios de confiança das extensões (como prevalência da instalação, avaliações, histórico da extensão e reputação do editor) e considerem os prós e contras das atualizações automáticas. As equipes de segurança corporativa devem desenvolver um inventário de extensões IDE, considerar a criação de uma lista de permissões centralizada para extensões VSCode e priorizar extensões do VSCode Marketplace, que possui controles e rigor de revisão mais altos.

Em suma, a segurança no desenvolvimento de software é uma responsabilidade compartilhada entre editores e plataformas de hospedagem. A conscientização sobre os riscos, a implementação de práticas de codificação seguras e a adoção de medidas de segurança rigorosas são essenciais para proteger os dados e sistemas contra ameaças cibernéticas.

Links úteis:

• Artigo original da InfoWorld: Threat actors are spreading malicious extensions via VS marketplaces
• Blog da Wiz: Wiz Blog