Extensions de IDEs apresentam riscos ocultos de vazamento de dados
São Paulo — InkDesign News — Especialistas em segurança alertam para vulnerabilidades em extensões de ambientes de desenvolvimento integrados (IDEs) que podem ser exploradas para comprometer cadeias de suprimentos de software. A pesquisa revela riscos ocultos nas extensões verificadas das principais IDEs como Visual Studio e IntelliJ IDEA.
Vetor de ataque
A pesquisa realizada pela OX Security indica que extensões de IDEs podem apresentar riscos semelhantes aos de extensões de navegadores, que frequentemente contêm malware. Os pesquisadores observaram que, uma vez que uma extensão é verificada, é possível modificar suas funcionalidades sem perder a verificação, o que representa um vetor de ataque preocupante.
Como prova de conceito, a equipe criou uma extensão maliciosa para o Visual Studio Code que mantinha valores verificáveis, permitindo a execução de comandos arbitrários, como abrir uma calculadora. Essa técnica foi replicada com sucesso em outras IDEs, demonstrando a fragilidade do mecanismo de verificação.
Impacto e resposta
Estes ataques podem resultar em execução não autorizada de código nos ambientes de desenvolvimento, colocando em risco credenciais privilegiadas e permitindo acesso a dados sensíveis. “Isso pode resultar em execução de código arbitrário nas estações de trabalho dos desenvolvedores sem o seu conhecimento, já que a extensão parece confiável”
(“This can result in arbitrary code execution on developers’ workstations without their knowledge, as the extension appears trusted.”)— Moshe Siman-Tov Bustan, Pesquisador de Segurança, OX Security.
Embora as empresas associadas, como Microsoft e JetBrains, reconheçam a pesquisa, não vislumbram um vetor de ataque de alta prioridade. A Microsoft, por exemplo, afirmou que a pesquisa não atinge seus critérios para atendimento imediato e que a verificação acontece apenas na instalação da extensão, não de forma contínua.
Análise e recomendações
Os especialistas pedem a implementação de verificações multifatoriais para a assinatura de extensões e a validação de hashes por arquivo das extensões instaladas. A OX também sugere que os provedores de extensões melhorem seus processos de verificação de integridade de código e implementem verificações de certificados para prevenir ataques do tipo adversário ao meio.
O caso ressalta a necessidade de vigilância constante em ambientes de desenvolvimento, principalmente com o aumento de projetos que envolvem inteligência artificial, onde os riscos podem ser ainda mais significativos.
À medida que as cadeias de suprimento de software se tornam alvos atrativos para ameaças cibernéticas, as organizações precisam reavaliar suas estratégias de segurança para garantir a integridade de seus ambientes de desenvolvimento.
Fonte: (Dark Reading – Segurança Cibernética)
