A descoberta, revelada apenas agora pela Wiz após o trabalho de remediação da Microsoft e OpenVSX, é outro exemplo de por que os desenvolvedores precisam tomar mais cuidado ao higienizar seu código antes de colocá-lo em mercados abertos, e por que os CSOs precisam garantir que as extensões usadas por seus desenvolvedores sejam examinadas de perto.
Os desenvolvedores são os principais alvos
Os desenvolvedores são o principal alvo dos ataques, comentou Johannes Ullrich, reitor de pesquisa do SANS Institute. “O que eles muitas vezes não percebem é que quaisquer extensões que instalam, mesmo que pareçam benignas, como, por exemplo, extensões para alterar a cor do código, têm acesso total ao seu código e podem fazer modificações sem informar explicitamente o desenvolvedor. Os mercados de extensões são apenas mais um repositório de código de terceiros. Eles sofrem da mesma falta de supervisão e revisão que outros repositórios de código (por exemplo, pip, npm, NuGet e outros). instalação da extensão, o desenvolvedor executará o código e fornecerá à extensão acesso persistente de longo alcance à sua base de código.”
Os cibercriminosos e os Estados-nação encontraram o novo elo fraco na cadeia de segurança: o ecossistema do fornecedor de software, disse David Shipley, chefe da empresa canadense de conscientização de segurança Beauceron Security. “Houve tantos casos disso que é um problema claro e sistêmico”, disse ele.
