- Atacatorii folosesc pachete compromise npm și Go pentru a desfășura un furt de parole pe Windows, Linux și macOS, exploatând sarcinile VS Code.
Cercetătorii de la JFrog au descoperit un atac sofisticat care folosește pachete npm și Go deturnate pentru a instala un infostealer Python pe sisteme Windows, Linux și macOS. Atacul ocolește măsurile de securitate standard prin utilizarea sarcinilor integrate în Visual Studio Code, ceea ce îl face deosebit de greu de detectat.
Cum funcționează atacul
Pachetele compromise, două din ecosistemul npm și un cluster din Go, conțin cod malițios care, la instalare, creează o sarcină (task) în VS Code. Această sarcină este configurată să ruleze un script Python care fură parole, token-uri și alte informații sensibile din browser și aplicații. Deoarece sarcinile VS Code nu sunt executate direct prin scripturile de viață ale pachetelor, atacul nu este blocat de protecțiile recente introduse în npm v12.
De ce sunt periculoase aceste pachete
Metoda aleasă de atacatori este ingenioasă: în loc să declanșeze execuția automată la instalare (pre/postinstall scripts), ei se bazează pe faptul că dezvoltatorii deschid proiectul în VS Code. Odată ce pachetul este instalat, sarcina rămâne disponibilă în .vscode/tasks.json și poate fi executată manual sau automat în funcție de setările IDE-ului. Practic, orice dezvoltator care instalează unul dintre aceste pachete riscă să-și compromită întregul sistem fără să-și dea seama.
Cum te poți proteja
Pentru a evita astfel de atacuri, verifică întotdeauna integritatea pachetelor pe care le instalezi. Folosește instrumente de scanare a dependințelor, cum ar fi npm audit sau Snyk, și inspectează conținutul folderului .vscode înainte de a rula orice sarcină. De asemenea, activează modul de securitate al VS Code care solicită confirmarea înainte de execuția sarcinilor.
Ce înseamnă pentru tine
- Dacă ești dezvoltator și ai instalat recent pachete npm sau Go, verifică lista de dependințe și caută posibile semne de compromise.
- Nu rula automat sarcinile din VS Code fără să le înțelegi sursa. Atacatorii profită de încrederea pe care o acordăm instrumentelor de dezvoltare.
- Păstrează-ți mediul de lucru actualizat și folosește soluții de securitate endpoint care detectează comportamente suspecte ale scripturilor Python.