Lỗ hổng mới trong các môi trường phát triển tích hợp
Một nghiên cứu mới về các môi trường phát triển tích hợp (IDE) như Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA và Cursor đã tiết lộ những điểm yếu trong cách chúng xử lý quy trình xác minh tiện ích mở rộng dẫn đến kẻ tấn công có thể thực thi mã độc hại trên các máy móc của nhà phát triển.
Các nhà nghiên cứu Nir Zadok và Moshe Siman Tov Bustan của OX Security cho biết: "Những kiểm tra xác minh bị lỗi trong Visual Studio Code cho phép các nhà xuất bản thêm chức năng vào tiện ích mở rộng trong khi vẫn duy trì biểu tượng đã xác minh. Điều này dẫn đến các tiện ích mở rộng độc hại được xác minh và chấp thuận, tạo cảm giác tin cậy sai lầm".
Cụ thể, phân tích phát hiện ra rằng Visual Studio Code gửi yêu cầu HTTP POST đến "marketplace.visualstudio[.]com" để xác định xem tiện ích mở rộng đã được xác minh hay chưa.
Về cơ bản, việc khai thác sẽ tạo tiện ích mở rộng độc hại có cùng giá trị với tiện ích mở rộng đã được xác minh và bỏ qua những kiểm tra tin cậy. Điều này cho phép các tiện ích mở rộng độc hại xuất hiện để thực thi những mã lệnh của hệ điều hành mà không bị các nhà phát triển nghi ngờ.
Về mặt bảo mật, đây là trường hợp điển hình trong việc lạm dụng việc cài đặt một ứng dụng trên thiết bị di động mà không sử dụng phương pháp phân phối ứng dụng chính thức của thiết bị. Nếu không sử dụng chứng chỉ số hoặc xác minh của nhà phát triển thì ngay cả các tiện ích mở rộng có vẻ hợp pháp cũng có thể ẩn các tập lệnh nguy hiểm.
Trong một bằng chứng khái niệm (PoC) do công ty an ninh mạng chứng minh, tiện ích mở rộng đã được định cấu hình để mở ứng dụng trên máy tính Windows. Bằng cách xác định các giá trị được sử dụng trong những yêu cầu xác minh và sửa đổi, người ta thấy rằng chúng có thể tạo gói tệp VSIX khiến tiện ích mở rộng độc hại xuất hiện như hợp pháp.
OX Security cho biết, họ có thể tái tạo lỗ hổng trên các IDE khác như IntelliJ IDEA và Cursor bằng cách sửa đổi các giá trị được sử dụng để xác minh mà không làm mất trạng thái đã xác minh của chúng.
Microsoft cho biết, hành vi này là cố ý và những thay đổi sẽ ngăn tiện ích mở rộng VSIX được phát hành lên Marketplace. Nguyên nhân là vì chữ ký xác minh tiện ích mở rộng được bật theo mặc định trên tất cả các nền tảng.
Lỗ hổng có thể đã bị khai thác được vào ngày 29/6/2025.
Những phát hiện một lần nữa cho thấy, chỉ dựa vào biểu tượng đã xác minh của tiện ích mở rộng là rất rủi ro, vì kẻ tấn công có thể lừa các nhà phát triển chạy mã độc mà họ không biết. Để giảm thiểu những rủi ro này, bạn nên cài đặt tiện ích mở rộng trực tiếp từ các thị trường chính thức thay vì sử dụng các tệp tiện ích mở rộng VSIX được chia sẻ trực tuyến.
Các nhà nghiên cứu cho biết: "Khả năng đưa mã độc vào tiện ích mở rộng, đóng gói chúng dưới dạng tệp VSIX/ZIP và cài đặt chúng trong khi vẫn duy trì các ký hiệu đã xác minh trên nhiều nền tảng phát triển chính gây ra rủi ro nghiêm trọng. Lỗ hổng này đặc biệt ảnh hưởng đến các nhà phát triển cài đặt tiện ích mở rộng từ các nguồn trực tuyến như GitHub"./.
.png "Xuất hiện lỗ hổng “zero-day” đánh cắp tiền điện tử")
