Hakerlar zararli kengaytmalar orqali "vibe-coder"larni nishonga olmoqda
1
31
0
Hakerlar vayb kodchilar (sun'iy idrok yordamida kod yozuvchilar) ni nishonga olish uchun xavfli bo‘shliqdan foydalanishmoqda. Cursor, Windsurf va boshqa SI asosidagi code editorlar VS Code Marketplacega kira olmaydi va buning o‘rniga uchinchi tomonning xavfli platformalariga tayanadi, u yerda esa zararli kengaytmalar va jiddiy xatoliklar keng tarqalgan.
Secure Annex tadqiqotchisi Jon Takner dasturchilar tomonidan 200 000 marta yuklab olingan zararli kengaytmani aniqladi. Bu kengaytma Solidity dasturchilarini nishonga oladi, ular ushbu dasturlash tilidan ethereum va boshqa blokcheynlarda smart shartnomalarni yaratishda foydalanadi.
Foydali funksiyalar o‘rniga, kengaytma PowerShell skriptlarini ishga tushiradi va hujumchilarga yuqtirilgan kompyuterga masofaviy kirish imkonini beradi.
“Bu foydalanuvchi uchun hatto foydali hech narsa qilmaydi, faqat haker uchun masofaviy kirish vositasini o‘rnatadi”, — deydi tadqiqotchi o‘zining blog postida.
Takner vayb kodchilarni ogohlantirib, ular foydalanayotgan platformalarda hozircha asosiy xavfsizlik axtaruvi va tekshiruv yo‘qligini aytdi.
“Bu kengaytmani tahlil qilish uchun hatto PhD darajasida bo‘lish ham shart emas edi. Bunday kengaytmalar hatto oddiy xavfsizlik tekshiruvlari orqali aniqlanishi va marketpleysda mavjud bo‘lmasligi kerak. Agar bular aniqlanmayotgan bo‘lsa, unda biroz murakkabroq xavflar haqida gapirmasak ham bo‘lar?” — deya ta’kidlaydi tadqiqotchi.
Zararli dastur Open VSX registryda aniqlangan bo‘lib, ushbu uchinchi tomon marketpleysi AI code editorlarining ommalashuvi bilan tezda mashhurlikka erishgan.
“Bizning ko‘plab sevimli vayb kodchilarimiz Open VSXdan foydalanmoqda”, — deydi tadqiqotchi.
8 milliondan ortiq dasturchilar foydalanadigan Open VSX vayb kodchilariga boshqa joyda topib bo‘lmaydigan kengaytmalarga kirish imkonini beradi.
Vayb kodchilar Cursor uchun Microsoftning Visual Studio Marketpleysdan foydalana olmaydi.
Nozik huquqiy jihatlar tufayli ochiq manbali VS Code loyihasiga asoslangan muqobil code editorlar rasmiy Microsoft Visual Studio Marketplacedan foydalanishi taqiqlangan, bu esa VS Code dasturchilari uchun asosiy manba hisoblanadi. Ushbu marketpleys faqat Microsoft mahsulotlari uchun ochiq.
“Bu degani, Cursor, Windsurf va boshqa VS Code forklari shu sababli boshqa marketpleyslardan foydalanishga majbur”, — deya tushuntiradi Takner.
Ushbu cheklovlar muqobil editorlarni foydalanuvchilarga kengaytmalarni taqdim etishda qiyin tanlovlarga duchor qiladi.
Open VSX Microsoft cheklovlarisiz muqobil marketpleys sifatida paydo bo‘ldi va vayb kodchilar uchun najotga aylandi. Bu yerda istalgan kishi kengaytmalarni joylashtirishi yoki hech qanday cheklovlarsiz yuklab olishi mumkin. Ammo, muqarrar ravishda, hakerlar buni suiiste’mol qilishga harakat qiladi.
Tadqiqotchi ogohlantiradi: ochiqlik Microsoftning yanada tartibga solingan marketpleysida bo‘lmagan xavf-xatarlarni keltirib chiqaradi.
“Microsoftning marketpleysida ham muammolar bor, ammo u korporativ nazorat, avtomatlashtirilgan tekshiruv va ko‘rib chiqish jarayonlari orqali zararli kengaytmalarni foydalanuvchilarga yetib borishidan oldin aniqlash imkonini beradi.”
Shu bilan birga, Open VSX bu holatga tezda javob berdi: uch soat ichida xabar qilingan zararli kengaytmalar (solidityai.solidity va soliditysupport.solid)ni olib tashladi va ularning dasturchilarini bloklash bo‘yicha qo‘shimcha choralar ko‘rdi.
Open VSXda katta zaiflik fosh qilindi
2025-yil 26-iyun kuni Open VSXning avtomatlashtirilgan yuklash tizimida jiddiy xatolik aniqlandi. Koi Security bu orqali ehtimoliy hujumchilar marketpleysni to‘liq boshqarishi va istalgan kengaytmaga zararli yangilanishlarni joylashtirishi mumkinligini ma’lum qildi. Bu millionlab vayb kodchilarning xavfsizligini xavf ostiga qo‘yishi mumkin edi.
“Bitta oddiy xatolik millionlab dasturchilarni ilgari ko‘rilmagan darajadagi ulkan xavf ostida qoldirdi,” — deyiladi Koi Security tadqiqotchilarining hisobotida.
Xatolik avtomatik yuklash mexanizmi orqali maxfiy tokenlarni, jumladan @open-vsx xizmat hisobining maxfiy tokenini ommaga ochib qo‘ydi. Ushbu token marketpleysdagi istalgan kengaytmani yuklash yoki yangilash imkoniyatiga ega super-ma'mur huquqlariga ega.
“Bu token Open VSX Registry uchun super-ma'mur "credential" hisoblanadi — u yangi kengaytmalarni yuklashi, mavjudlarini yangilashi yoki o‘chirishi mumkin. Hujumchi nuqtai nazaridan bu butun ekotizimning ta'minot zanjirini boshqarish degani,” — deydi tadqiqotchilar.
Taqdim etilgan jadvalga ko‘ra, muammoni bartaraf etish uchun olti marta tuzatish, uch oydan ko‘proq vaqt talab qilingan.
Marketpleysni boshqaradigan Eclipse Foundation hech qanday buzilish izlarini topmagan, biroq ehtiyot chorasi sifatida 81 ta kengaytmani faoliyatdan to‘xtatgan.
Koi Security dasturchilarga istalgan marketpleys, ilova do‘koni yoki registrydan yuklab olingan dasturlarni default holatda ishonchsiz deb belgilashni tavsiya qiladi.
“Bizning tadqiqot jamoamiz har kuni Open VSX, Microsoftning o‘zidagi VSCode Marketplace va hatto korporativ xususiy marketpleyslarda zaif va o‘ta zararli kengaytmalarni aniqlaydi. Muammo umumiy: agar kengaytma kod bo‘lsa va sizning muhitingizda ishlasa, u hujum yuzasi hisoblanadi,” — ta’kidladi tadqiqotchilar.
