Хакеры используют Visual Studio Code, чтобы распространять вредоносные расширения через Microsoft
Поступили новости о том, что на базе VS Code, которой «доверяет» магазин расширений Microsoft, хакеры могут создавать и распространять «миллионными тиражами» вредоносные программы
Хакерским атакам теперь подвергается рынок расширений Visual Studio Code. Мошенники распространяют здесь вредоносные программы, грамотно маскируя их под законные аналоги, чтобы атаковать цепочку поставок. Об этой новости сообщил the Hacker News 9 января 2023 года, ссылаясь на Aquasec.
Описываемый метод хакерских атак рискует стать отправной точкой для взлома множества организаций. Известно, что дополнения Visual Studio Code, спроектированные на торговой площадке Microsoft, дают разработчикам возможность включать в них дополнительные языки программирования, инструменты и функции. Стало известно, что этим могут воспользоваться мошенники. Потенциальный злоумышленник может выдать свою вредоносную разработку за популярное расширение, слегка изменив URL-адрес. Но хуже то, что сама торговая площадка позволяет хакеру использовать имя и сведения об издателе расширения, предоставляя доступ к хранилищу проекта.
С одной стороны это не позволяет отображать количество установок и оценок, однако на другие идентифицирующие характеристики нет ограничений. Это является серьезной причиной, чтобы обманывать пользователей и разработчиков, что авторский значок проверки можно обойти, обеспечив себе «галочку» владения доменом. Проще говоря, хакер может купить любой домен, зарегистрировать его, чтобы получить галочку, и загрузить на маркетплейс вредоносное расширение.
Угроза цепочкам поставок программного обеспечения уже не впервые возникает на рынке расширений Visual Studio Code. В 2021 году компания Snyk обнаружила уязвимости безопасности в популярных расширениях VS Code с миллионами загрузок, которыми злоумышленники могли использовать для распространения вредоносных программ.
Ранее «LinDeal.com» рассказал о том, что серверы Minecraft под атакой: Microsoft предупреждает о кросс-платформенном DDoS-ботнете.
Теги:
Комментарии (0)
Комментариев еще нет. Будьте первыми, напишите комментарий.
Написать комментарий
Поделитесь с нами своим мнением об этой статье, напишите ваш комментарий, отзыв, рекомендации или вопросы. Нам очень важно, что вы думаете касательно данного материала!
Читаете еще на linDEAL.
Лучшие сервисы для защиты сайтов от взлома, DDoS-атак, вирусов, а также для проверки уязвимостей и безопасности
Простые способы и пошаговые инструкции, как оставаться невидимыми в сети. Сервисы, ПО и приложения, которые помогут сохранить анонимность в интернете
Десять действенных способов проверить неизвестный входящий или пропущенный вызов, не перезванивая: от перевода через Сбер до АОН-бота в Телеграме
Кто такие хакеры и какими могут быть хакерские атаки? Кто самая желанная жертва крэкеров, как распознать кибератаки и как себя от них защитить?
Опытные хакеры целенаправленно эксплуатировали уязвимость в инструменте передачи файлов под названием Accellion, в результате чего украли конфиденциальные данные многих организаций
Какой сегодня праздник?
Подборки лучших книг
Предлагаем ТОП книг об аферах и аферистах... Об изобретательных ловцах легкой наживы... Они лгут, изворачиваются, перевоплощаются… порой ошибаются и нередко воплощают в жизнь свои замыслы
В подборке, вы найдете, как базовые книги для новичков, так и более продвинутые издания для профи. Всё самое интересное про аппаратное обеспечение — смотрите в нашей сегодняшней статье
Пятнадцать лучших книг всех времен и народов, написанных про программирование и для программистов. Бестселлеры, необходимые каждому, кто работает или собирается работать с кодом
Подборка книг о «черных» и «белых» хакерах расскажет о профессиональных киберпреступниках и специалистах по информационной безопасности и повысит вашу цифровую грамотность
Еще Новости Хакерство
BleepingComputer делится новостями о том, что с 2021 года злоумышленники тактично собирали личную информацию пользователей Twitter, и теперь слили эти данные в интернет еще ..
Китайские исследователи делятся новостями о том, что им, якобы, удалось взломать самые сложные механизмы шифрования посредством использования квантовых компьютеров еще ..
Поступили новости об очередной крупномасштабной утечке информации, включая личные данные людей на 15 терабайт из жилищного управления Лос-Анджелеса, к которой причастна LockBit еще ..
Поступили новости о планах российских властей запретить ИТ-специалистам покидать страну, и увеличить налоги для тех, кто уже уехал, с целью вернуть кадры на свои места еще ..
Исследователи кибербезопасности делятся новостями о том, что через умную колонку Google Home злоумышленник может следить за жертвой, а также управлять устройствами дома еще ..
Российские СМИ делятся новостями о планах программистов из крупных ИТ-компаний разработать собственную операционную систему, которая заменит Android и Google Mobile Services еще ..
Twitter делится новостями о наблюдаемых сбоях, которые по большей части уже исправлены; как оказалось, компания «сменила архитектуру сервера», но работой Маска не довольны многие еще ..
Поступили новости о том, что группа программистов купила на eBay старую военную технику США, содержащую информацию о тысячах человек, включая их отпечатки, скан сетчатки глаза и снимки еще ..
Новости о бесплатной раздаче игры Death Stranding 2019 года молниеносно пронеслась по интернету, и желающих ее приобрести оказалось так много, что серверы Epic Games Store «рухнули» еще ..
LastPass делится новостями о факте кражи паролей клиентов, и призывает их к содействию посредством смены данных входа еще ..