Telegram Group & Telegram Channel
Telegram Group » United States » Security Wine (бывший - DevSecOps Wine) » Telegram Webview » Post 597
Security Wine (бывший - DevSecOps Wine)
Как мы взломали многомиллиардные компании за 30 минут с помощью поддельного расширения VSCode 😇

Тема supply chain не имеет конца и края. Сегодняшний пост мы начнем со статистики о плагинах VS Code:

- 1,283 расширений VS Code содержат известные вредоносные зависимости, с общим числом установок 229 миллионов.
- 87 расширений пытаются прочитать файл /etc/passwd на хост-системе.
- 8,161 расширений общается с жестко закодированным IP-адресом.
- 1,452 расширений запускают неизвестные исполняемые файлы или DLL.
- 145 расширений были отмечены VirusTotal с высокой степенью уверенности.
- 2,304 расширений используют репозиторий другого издателя на GitHub.

Такой статистикой поделились авторы сервиса ExtensionTotal по проверке безопасности плагинов VS Code в своей серии статей (часть 1, часть 2).

А теперь пара слов, почему так происходит:

- Стать "проверенным" издателем на VSCode Marketplace можно, просто подтвердив домен.
- Можно связать любое репо на GitHub с вашей страницей расширения, даже если оно вам не принадлежит.
- Расширения могут выполнять произвольный код, создавать процессы, выполнять системные вызовы, импортировать любые пакеты NodeJS.
- Расширения автоматически обновляются, что позволяет атакующему вставить вредоносный код после роста популярности плагина.

В частности, авторы статей разместили копию популярного плагина Darcula. В результате за сутки плагин вывелся в топы, а авторы получили пинги от крупных компаний, чьи имена не раскрыли. Скорее всего, речь идет о техногигантах вроде Microsoft, Google, Apple, Amazon.

Таким образом, "потоп" продолжается и по мере усложнения экосистем и зависимостей количество "сценариев провала" возрастает. Полностью закрыть возникающие потребности в информационной безопасности не может ни автоматизация, ни искусственный интеллект, ни развитие новых образовательных подходов. Времени, технологий и рук решительно не хватает. Подробнее об этом в нашем материале на соседнем канале:

https://www.tg-me.com/radcop_online/138

Интересно, когда появятся сервисы по сканированию плагинов для кофеварок и плоек? 😁

#supplychain
Extensiontotal
ExtensionTotal | Supply Chain Gateway for Software Marketplaces
ExtensionTotal empowers security teams to secure software marketplaces, from IDE extensions (e.g. VSCode, JetBrains) to browser extensions (e.g. Chrome, Edge), brew, code packages, and AI models.
www.tg-me.com/us/DevSecOps Wine/com.sec_devops/597
6.7K viewsRustam Guseynov



tg-me.com/sec_devops/597
Create:
Last Update:

Как мы взломали многомиллиардные компании за 30 минут с помощью поддельного расширения VSCode 😇

Тема supply chain не имеет конца и края. Сегодняшний пост мы начнем со статистики о плагинах VS Code:

- 1,283 расширений VS Code содержат известные вредоносные зависимости, с общим числом установок 229 миллионов.
- 87 расширений пытаются прочитать файл /etc/passwd на хост-системе.
- 8,161 расширений общается с жестко закодированным IP-адресом.
- 1,452 расширений запускают неизвестные исполняемые файлы или DLL.
- 145 расширений были отмечены VirusTotal с высокой степенью уверенности.
- 2,304 расширений используют репозиторий другого издателя на GitHub.

Такой статистикой поделились авторы сервиса ExtensionTotal по проверке безопасности плагинов VS Code в своей серии статей (часть 1, часть 2).

А теперь пара слов, почему так происходит:

- Стать "проверенным" издателем на VSCode Marketplace можно, просто подтвердив домен.
- Можно связать любое репо на GitHub с вашей страницей расширения, даже если оно вам не принадлежит.
- Расширения могут выполнять произвольный код, создавать процессы, выполнять системные вызовы, импортировать любые пакеты NodeJS.
- Расширения автоматически обновляются, что позволяет атакующему вставить вредоносный код после роста популярности плагина.

В частности, авторы статей разместили копию популярного плагина Darcula. В результате за сутки плагин вывелся в топы, а авторы получили пинги от крупных компаний, чьи имена не раскрыли. Скорее всего, речь идет о техногигантах вроде Microsoft, Google, Apple, Amazon.

Таким образом, "потоп" продолжается и по мере усложнения экосистем и зависимостей количество "сценариев провала" возрастает. Полностью закрыть возникающие потребности в информационной безопасности не может ни автоматизация, ни искусственный интеллект, ни развитие новых образовательных подходов. Времени, технологий и рук решительно не хватает. Подробнее об этом в нашем материале на соседнем канале:

https://www.tg-me.com/radcop_online/138

Интересно, когда появятся сервисы по сканированию плагинов для кофеварок и плоек? 😁

#supplychain

BY Security Wine (бывший - DevSecOps Wine)




Share with your friend now:
tg-me.com/sec_devops/597

View MORE
Open in Telegram


DevSecOps Wine Telegram | DID YOU KNOW?

Date: |

Telegram is riding high, adding tens of million of users this year. Now the bill is coming due.Telegram is one of the few significant social-media challengers to Facebook Inc., FB -1.90% on a trajectory toward one billion users active each month by the end of 2022, up from roughly 550 million today.

Export WhatsApp stickers to Telegram on Android

From the Files app, scroll down to Internal storage, and tap on WhatsApp. Once you’re there, go to Media and then WhatsApp Stickers. Don’t be surprised if you find a large number of files in that folder—it holds your personal collection of stickers and every one you’ve ever received. Even the bad ones.Tap the three dots in the top right corner of your screen to Select all. If you want to trim the fat and grab only the best of the best, this is the perfect time to do so: choose the ones you want to export by long-pressing one file to activate selection mode, and then tapping on the rest. Once you’re done, hit the Share button (that “less than”-like symbol at the top of your screen). If you have a big collection—more than 500 stickers, for example—it’s possible that nothing will happen when you tap the Share button. Be patient—your phone’s just struggling with a heavy load.On the menu that pops from the bottom of the screen, choose Telegram, and then select the chat named Saved messages. This is a chat only you can see, and it will serve as your sticker bank. Unlike WhatsApp, Telegram doesn’t store your favorite stickers in a quick-access reservoir right beside the typing field, but you’ll be able to snatch them out of your Saved messages chat and forward them to any of your Telegram contacts. This also means you won’t have a quick way to save incoming stickers like you did on WhatsApp, so you’ll have to forward them from one chat to the other.

DevSecOps Wine from us


Как мы взломали многомиллиардные компании за 30 минут с помощью поддельного расширения VSCode 😇Тема supply chain не имеет конца и края. Сегодняшний пост мы начнем со статистики о плагинах VS Code:- 1

 Security Wine (бывший - DevSecOps Wine) TG
Webview: 597
Security Wine (бывший - DevSecOps Wine).Telegram Webview
Security Wine (бывший - DevSecOps Wine) Telegram TG Channel
Telegram Updated:
Telegram Security Wine (бывший - DevSecOps Wine)
FROM USA