Thị trường tiện ích mở rộng của Visual Studio Code (VSCode) đã trở thành một điểm yếu nghiêm trọng trong chuỗi cung ứng phần mềm. Các nhà nghiên cứu bảo mật tại HelixGuard Team gần đây đã phát hiện 12 tiện ích mở rộng độc hại hoạt động trong Microsoft VSCode Marketplace và OpenVSX, trong đó bốn tiện ích vẫn đang hoạt động mặc dù đã được phát hiện. Sự cố này nhấn mạnh tầm quan trọng của việc chủ động đối phó với các mối đe dọa từ tấn công chuỗi cung ứng.

Những tiện ích mở rộng này không chỉ đơn thuần thu thập dữ liệu; chúng triển khai các kỹ thuật tinh vi để vượt qua các biện pháp bảo mật truyền thống. Mục tiêu chính bao gồm đánh cắp mã nguồn sở hữu trí tuệ, lấy cắp thông tin xác thực nhạy cảm từ các tệp cấu hình hoặc bộ nhớ, thiết lập các backdoor từ xa để duy trì quyền truy cập lâu dài, và tiến hành giám sát trái phép toàn bộ môi trường phát triển của lập trình viên, từ đó thu thập thông tin tình báo có giá trị cho các cuộc tấn công tiếp theo.

Mối đe dọa từ Tấn công Chuỗi Cung Ứng qua Tiện ích VSCode

Việc phát hiện này chỉ là phần nổi của tảng băng chìm, cho thấy quy mô tiềm ẩn của vấn đề. Các plugin của IDE đã nổi lên như một vector tấn công mạnh mẽ cho các tác nhân đe dọa, nhằm mục đích thỏa hiệp các nhóm phát triển và tài sản trí tuệ của họ trên quy mô lớn. Theo một nghiên cứu từ bài báo trên arXiv đã phân tích hệ sinh thái tiện ích mở rộng của VSCode, ước tính khoảng 5,6% trong số 52.880 tiện ích hiện có trên thị trường thể hiện các mẫu hành vi đáng ngờ. Chi tiết có thể tham khảo tại: HelixGuard – Phân tích Plugin VSCode độc hại.

Điều đáng báo động hơn là số lượng cài đặt: những tiện ích mở rộng đáng ngờ này đã tích lũy hơn 613 triệu lượt tải xuống. Sự tăng trưởng của các trợ lý mã hóa được hỗ trợ bởi AI và cơ sở người dùng VSCode ngày càng mở rộng đã làm tăng sức hấp dẫn của thị trường tiện ích mở rộng như một mục tiêu cho các cuộc tấn công chuỗi cung ứng.

Các nhà phát triển trên toàn thế giới, những người dựa vào VSCode làm môi trường phát triển tích hợp chính, đang phải đối mặt với rủi ro bảo mật chưa từng có từ các plugin độc hại. Những plugin này hoạt động với các đặc quyền tương tự như chính công việc phát triển của họ, tạo ra một dạng của tấn công chuỗi cung ứng tinh vi.

Phân tích Chi tiết các Tiện ích mở rộng độc hại đang hoạt động

Trong số 12 tiện ích mở rộng độc hại được phát hiện ban đầu, bốn tiện ích vẫn có thể truy cập được trên thị trường bất chấp các lo ngại về bảo mật đã được công khai. Đây là những mối đe dọa tức thì và hiện hữu đối với các nhà phát triển có thể vô tình cài đặt chúng vào môi trường làm việc của mình.

Các Tiện ích Chuyên Đánh cắp Dữ liệu và Giám sát

Các tiện ích này tập trung vào việc thu thập và truyền tải thông tin nhạy cảm từ môi trường phát triển của người dùng:

• Christine-devops1234.scraper: Tiện ích này được thiết kế để đánh cắp ID máy, tên dự án, toàn bộ nội dung tệp mã nguồn, các truy vấn tìm kiếm, lời nhắc trò chuyện với AI, các đoạn mã được chọn và hình ảnh chụp màn hình. Tất cả dữ liệu thu thập được sẽ được truyền đến một máy chủ do kẻ tấn công kiểm soát.
• Kodease.fyp-23-s2-08: Chức năng chính của tiện ích này là lấy cắp mã nguồn và gửi chúng đến một máy chủ Ngrok do kẻ tấn công kiểm soát, thường được sử dụng để tạo đường hầm truy cập từ xa.
• GuyNachshon.cxcx123: Tiện ích này thực hiện hành vi phát hiện cài đặt bằng cách gửi các yêu cầu HTTPS đến cơ sở hạ tầng của kẻ tấn công để xác nhận hoạt động trên một hệ thống cụ thể.
• sahil92552.CBE-456: Tiện ích này chuyên biệt trong việc đánh cắp mã nguồn trong quá trình phân tích mã và truyền tải những thông tin này đến các máy chủ từ xa.

Tiện ích mở rộng với Khả năng Thực thi Mã từ xa (Remote Code Execution)

Một số tiện ích mở rộng độc hại đã nâng cấp từ thu thập dữ liệu thụ động lên khả năng thực thi mã chủ động, đại diện cho một mối đe dọa mạng nghiêm trọng hơn, cho phép kiểm soát hoàn toàn hệ thống mục tiêu:

• teste123444212.teste123444212: Tiện ích này thiết lập kết nối liên tục với cơ sở hạ tầng AWS do kẻ tấn công kiểm soát. Kết nối này cho phép kẻ tấn công thực hiện thực thi mã từ xa (RCE) trên các máy của nhà phát triển, mở đường cho việc chiếm quyền kiểm soát.
• ToToRoManComp.diff-tool-vsc: Tiện ích này kết nối với máy chủ command-and-control (C2) tại địa chỉ cụ thể, sau đó tải xuống và thực thi các Perl reverse shell. Điều này cấp cho kẻ tấn công quyền truy cập shell tương tác vào hệ thống bị nhiễm.
• Deriv-AI.deriv-ai: Tiện ích này tải xuống và thực thi trojan nightpaw. Trojan này cho phép kẻ tấn công thực hiện trinh sát máy chủ toàn diện, thu thập thông tin hệ thống, và thiết lập khả năng kiểm soát từ xa.

Trích xuất Thông tin Mục tiêu và Trinh sát Môi trường

Các tiện ích mở rộng khác tập trung vào việc trích xuất thông tin mục tiêu cụ thể và trinh sát môi trường làm việc, làm tăng thêm rủi ro bảo mật về rò rỉ dữ liệu nhạy cảm:

• BX-Dev.Blackstone-DLP: Tiện ích này có khả năng chụp ảnh màn hình và sao chép nội dung clipboard, sau đó truyền dữ liệu này đến cơ sở hạ tầng của kẻ tấn công. Kỹ thuật này đặc biệt hiệu quả trong việc đánh cắp thông tin xác thực, mã thông báo xác thực và các đoạn mã nhạy cảm mà nhà phát triển đang làm việc.
• VKTeam.ru: Tiện ích này thực hiện trinh sát môi trường toàn diện, trích xuất tên người dùng, tên máy chủ, hệ điều hành, kiến trúc và thông tin miền của hệ thống. Sau đó, nó báo cáo dữ liệu này một cách chọn lọc dựa trên tiêu chí miền cụ thể, có khả năng nhắm mục tiêu vào các môi trường doanh nghiệp.

Chỉ số Thỏa hiệp (Indicators of Compromise – IoC)

Để hỗ trợ việc phát hiện xâm nhập và bảo vệ hệ thống khỏi các cuộc tấn công đang hoạt động, các tổ chức nên theo dõi và chặn các chỉ số thỏa hiệp sau:

IP Addresses và Ports: 
    35.164.75.62:8080 (Máy chủ Command-and-Control của Christine-devops1234.scraper)
    89.104.69.35:445 (Máy chủ Command-and-Control của ToToRoManComp.diff-tool-vsc)

Domain/Service Indicators: 
    Ngrok server (Dùng để lấy cắp mã nguồn của Kodease.fyp-23-s2-08)
    Attacker-controlled AWS infrastructure (Dùng cho RCE của teste123444212.teste123444212)

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro Bảo mật

Các nhóm bảo mật doanh nghiệp phải thực hiện các biện pháp bảo vệ ngay lập tức để đối phó với mối đe dọa từ tiện ích mở rộng độc hại. Các cuộc kiểm tra định kỳ và đánh giá nghiêm ngặt các tiện ích mở rộng VSCode đã cài đặt nên trở thành thực hành tiêu chuẩn, đặc biệt chú ý đến các tiện ích mở rộng ít được biết đến hoặc mới được tạo.

Sự cố thị trường VSCode này minh chứng rõ ràng rằng các cuộc tấn công chuỗi cung ứng đã phát triển vượt ra ngoài các phần phụ thuộc phần mềm truyền thống, trực tiếp nhắm vào chuỗi công cụ phát triển. Do đó, các tổ chức nên thiết lập các chính sách hạn chế việc cài đặt tiện ích mở rộng chỉ cho các danh sách cho phép (allowlists) đã được kiểm duyệt, bao gồm các plugin đã được xác minh và sử dụng rộng rãi.

Các nhóm bảo mật cần thiết lập cơ chế giám sát mạnh mẽ đối với các kết nối mạng đáng ngờ bắt nguồn từ môi trường phát triển, vì nhiều tiện ích mở rộng độc hại này giao tiếp với cơ sở hạ tầng command-and-control đã biết. Việc giám sát này là cốt lõi trong chiến lược phát hiện xâm nhập hiệu quả, đặc biệt trong bối cảnh các chiến dịch tấn công chuỗi cung ứng.

Ngoài ra, các nhà phát triển cần được đào tạo nâng cao nhận thức về bảo mật, nhấn mạnh rủi ro bảo mật của việc sử dụng các plugin IDE của bên thứ ba không rõ nguồn gốc. Điều quan trọng là phải xác minh tính xác thực và uy tín của tiện ích mở rộng trước khi cài đặt. Sự cảnh giác này là một phần quan trọng trong việc bảo vệ môi trường phát triển khỏi các tấn công chuỗi cung ứng.

Khi các IDE ngày càng trở nên mở rộng và các nhà phát triển ngày càng đón nhận mã hóa được hỗ trợ bởi AI, thị trường tiện ích mở rộng sẽ vẫn là một mục tiêu hấp dẫn cho các tác nhân đe dọa. Sự cảnh giác, xác minh và quản trị ưu tiên bảo mật đối với các công cụ phát triển đã trở thành những yếu tố thiết yếu của chiến lược an ninh mạng doanh nghiệp để giảm thiểu rủi ro bảo mật.