Quantcast
News

Vulnerabilità nel VSCode Marketplace: un pericolo per gli sviluppatori

Condividi l'articolo

Recenti indagini hanno evidenziato gravi carenze nella sicurezza del VSCode Marketplace, il mercato delle estensioni gestito da Microsoft. Gli investigatori hanno scoperto un gran numero di applicazioni dannose che rappresentano una minaccia per gli sviluppatori e gli utenti.

L’indagine è iniziata come un esperimento per rivelare possibili vulnerabilità. Utilizzando la tecnica del “typosquatting“, gli investigatori hanno creato una versione Trojanizzata del popolare tema “Dracula Official“, ribattezzandola “Darcula“. Questa estensione dannosa, che conteneva uno script nascosto per rubare informazioni dal sistema, è stata installata in oltre 100 organizzazioni, inclusa un’azienda pubblica con una capitalizzazione di mercato di 483 miliardi di dollari.

Leggi anche:

Un’analisi più approfondita, condotta con uno strumento chiamato ExtensionTotal, ha rivelato ulteriori problemi di sicurezza:

  • 1.283 estensionino dell’otpropre conteneva il malware noto, con 229 milioni di di installazioni
  • 8.161 comunicano con indirizzi sospetti IP.
  • 1.452 e estensioniseguivano file incanta.
  • 2.304 il repository di lomini di lotta GitHub di altri editori, indicando che erano imitazioni.

Questi risultati evidenziano gravi carenze nei controlli di sicurezza del VSCode Marketplace. La mancanza di una revisione rigorosa del codice consente facilmente agli attori dannosi di abusare della piattaforma.

Gli investigatori hanno segnalato tutte le estensioni dannose a Microsoft, ma molte sono ancora disponibili per il download. Questo mette a rischio gli utenti e le organizzazioni che utilizzano VSCode. Per affrontare il problema, gli investigatori stanno pianificando di pubblicare gratuitamente il loro strumento “ExtensionTotal”, che aiuterà gli sviluppatori a individuare estensioni potenzialmente dannose.

Fonte

Ti potrebbe interessare:
Segui guruhitech su:

Esprimi il tuo parere!

Che ne pensi di questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].

+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 votes
Article Rating

Rispondi

0 Commenti
Newest
Oldest Most Voted
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x