[BAYCOMS] เตือนภัยนักพัฒนา! เมื่อ Access Token ในส่วนขยาย VS Code รั่วไหล เสี่ยงถูกแฮกเกอร์ยึดครอง งานวิจัยด้านความปลอดภัยล่าสุดจากบริษัท Wiz ได้เปิดโปงความเสี่ยงร้ายแรงในระบบนิเวศของ Visual Studio Code (VS Cod

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

3 พ.ย. เวลา 04:15 • วิทยาศาสตร์ & เทคโนโลยี

เตือนภัยนักพัฒนา! เมื่อ Access Token ในส่วนขยาย VS Code รั่วไหล เสี่ยงถูกแฮกเกอร์ยึดครอง

งานวิจัยด้านความปลอดภัยล่าสุดจากบริษัท Wiz ได้เปิดโปงความเสี่ยงร้ายแรงในระบบนิเวศของ Visual Studio Code (VS Code) โดยพบว่าผู้พัฒนาส่วนขยาย (Extension) มากกว่า 100 รายการ ได้เผลอทำ Access Token ซึ่งเปรียบเสมือน "กุญแจลับ" ในการเข้าถึงและจัดการส่วนขยายรั่วไหลออกมา ซึ่งอาจส่งผลกระทบต่อนักพัฒนาที่ติดตั้งส่วนขยายเหล่านี้รวมกันกว่า 150,000 ครั้ง

ช่องโหว่ซัพพลายเชนที่ซ่อนอยู่ในไฟล์ .vsix

ปัญหาหลักเกิดจากการที่นักพัฒนาหลายคนเผลอฝัง "กุญแจลับ" หรือ Access Token ไว้ในโค้ดของส่วนขยายโดยตรง ซึ่งไฟล์ติดตั้งส่วนขยาย .vsix นั้น จริงๆ แล้วเป็นเหมือนไฟล์ Zip ที่ใครก็สามารถเปิดดูโค้ดข้างในได้ ทำให้แฮกเกอร์สามารถขโมย Token เหล่านี้ไปได้อย่างง่ายดาย

เมื่อแฮกเกอร์ได้ Token ไป ก็เปรียบเสมือนการได้สิทธิ์เป็นเจ้าของส่วนขยายนั้น ทำให้สามารถ อัปเดตส่วนขยายให้กลายเป็นมัลแวร์ แล้วส่งตรงไปยังผู้ใช้งานทุกคนที่ติดตั้งไว้โดยอัตโนมัติ ถือเป็นความเสี่ยงต่อซัพพลายเชนซอฟต์แวร์ที่น่ากังวลอย่างยิ่ง

จากการตรวจสอบ พบข้อมูลลับที่รั่วไหลกว่า 550 รายการ ซึ่งเชื่อมโยงกับบริการหลากหลายประเภท เช่น

- AI Providers: OpenAI, Gemini, Anthropic

- Cloud Providers: AWS, Google Cloud, GitHub

- Databases: MongoDB, PostgreSQL

"TigerJack" กรณีศึกษาแฮกเกอร์ที่ใช้ช่องโหว่นี้โจมตีจริง

ช่องโหว่นี้ไม่ใช่แค่ทฤษฎี แต่มีกลุ่มแฮกเกอร์ชื่อ TigerJack ได้ใช้โจมตีจริงแล้ว โดยได้เผยแพร่ส่วนขยายอันตรายที่ดูเหมือนของจริงอย่างน้อย 11 รายการบน VS Code Marketplace

พฤติกรรมของ TigerJack มีความซับซ้อนและอันตรายสูง เช่น

1. ขโมยซอร์สโค้ด ส่วนขยาย C++ Playground แอบดักจับการกดคีย์บอร์ดเพื่อขโมยโค้ด C++

2. แอบขุดเหรียญคริปโต ส่วนขยาย HTTP Format แอบใช้ทรัพยากรเครื่องของผู้ใช้เพื่อขุดเหรียญ

3. ติดตั้ง Backdoor ส่วนขยายบางตัวสามารถเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ทุกๆ 20 นาที เพื่อรอรับคำสั่งและรันโค้ดอันตรายใดๆ ก็ได้ เช่น ขโมยรหัสผ่าน, ติดตั้งแรนซัมแวร์ หรือใช้เครื่องของนักพัฒนาเป็นฐานในการโจมตีองค์กรต่อไป

ที่น่ากลัวคือ ส่วนขยายของ TigerJack ใช้งานได้จริงตามที่โฆษณา และมักจะปล่อยเวอร์ชันที่ใช้งานได้ปลอดภัยออกมาก่อน เพื่อสร้างความน่าเชื่อถือ แล้วค่อยแอบใส่มัลแวร์เข้ามาในการอัปเดตทีหลัง

การรับมือของ Microsoft และช่องว่างด้านความปลอดภัย

หลังจากได้รับรายงาน Microsoft ได้ทำการเพิกถอน Token ที่รั่วไหลทั้งหมด และประกาศว่าจะเพิ่มระบบ สแกนหาข้อมูลลับ ใน VS Code Marketplace เพื่อบล็อกส่วนขยายที่มีความเสี่ยง

แต่มีช่องว่างสำคัญ มาตรการนี้ใช้ได้เฉพาะกับ VS Code Marketplace ของ Microsoft เท่านั้น ไม่ครอบคลุมถึงแพลตฟอร์มอื่นอย่าง Open VSX ซึ่งทำให้แฮกเกอร์แค่ย้ายส่วนขยายอันตรายไปยังแพลตฟอร์มที่มีการตรวจสอบหละหลวมกว่า กลายเป็นจุดบอดที่แฮกเกอร์ใช้ประโยชน์ได้

คำแนะนำสำหรับนักพัฒนาและองค์กร

1. สำหรับผู้ใช้งานทั่วไป

- ติดตั้งเท่าที่จำเป็น เลือกติดตั้งเฉพาะส่วนขยายที่เชื่อถือได้และจำเป็นจริงๆ

- ตรวจสอบผู้เผยแพร่ ก่อนติดตั้ง ให้ตรวจสอบประวัติและชื่อเสียงของผู้พัฒนา

- ระวังการอัปเดตอัตโนมัติ พิจารณาถึงความเสี่ยงก่อนเปิดใช้งานฟังก์ชันนี้

2. สำหรับองค์กร

- จัดทำรายการส่วนขยาย สำรวจและบันทึกรายการส่วนขยายทั้งหมดที่ใช้งานในองค์กร

- ใช้ Allowlist สร้างรายการส่วนขยายที่ผ่านการตรวจสอบและอนุญาตให้ติดตั้งได้เท่านั้น เพื่อป้องกันความเสี่ยงจากส่วนขยายที่ไม่รู้จัก

Ref : https://thehackernews.com/.../over-100-vs-code-extensions...

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS

Your Trusted Cybersecurity Partner.

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :