Расширения для IDE под прицелом: четыре уязвимости открыли скрытую дыру в цепочке разработки
Компания OX Security раскрыла четыре уязвимости в расширениях для популярных IDE, которые, по оценке исследователей, формируют серьёзную «слепую зону» безопасности в процессе разработки. Проблема касается плагинов, устанавливаемых в среды вроде Visual Studio Code и других редакторов, используемых разработчиками.
По данным исследования, уязвимости связаны с тем, как расширения обрабатывают внешние данные, выполняют команды и взаимодействуют с файловой системой. В ряде случаев плагины могли запускать код или выполнять операции без строгой проверки источника запроса. Это открывает возможность для внедрения вредоносных действий через подменённые репозитории, заражённые проекты или специально подготовленные файлы.
Отдельно подчёркивается риск работы с автоматическими задачами сборки и скриптами, которые запускаются при открытии проекта. Если расширение имеет расширенные права внутри IDE, злоумышленник может добиться выполнения произвольного кода на машине разработчика. Такой сценарий опасен тем, что компрометация происходит в доверенной среде — на этапе написания и сборки кода.
Исследователи называют это системной проблемой: расширения для IDE часто имеют широкий доступ к локальной файловой системе, переменным окружения, токенам доступа к репозиториям и ключам облачных сервисов. При наличии уязвимости в плагине атакующий может получить чувствительные данные или внедрить вредоносный код в проект, что далее повлияет на цепочку поставки программного обеспечения.
OX Security подчёркивает, что атака не требует эксплуатации уязвимостей самой IDE - достаточно ошибки в расширении. Это делает плагины потенциальной точкой входа в инфраструктуру разработки и создаёт риск supply chain-компрометации.
Теги:
похожие материалы
GitHub начал «проваливаться» в России: разработчики жалуются на доступ к репозиториям
В России фиксируют рост проблем с доступом к GitHub - крупнейшей платформе для хранения кода и совместной разработки IT-проектов.
Суд запретил шутки, но РКН не понял, какие именно
Чертановский суд Москвы запретил материалы на трех юмористических сайтах, включая «ЯПлакалъ», «Анекдотов стрит» и «Анекдото.
Аккаунты исчезают вместе с архивами: Claude добрался до российских пользователей
Российские пользователи Claude начали массово жаловаться на блокировку аккаунтов.
Эксперты предупредили о «серых» сайтах, которые могут привести к потере денег и данных
«Лаборатория Касперского» в новом отчёте рассказывает о так называемых «серых» сайтах — ресурсах, которые не относятся к классическим фишинговым, но всё чаще используются для обмана пользователей.
UserGate вошел в топ-5 российских ИТ‑компаний — лидеров технологического развития России
Компания UserGate заняла пятое место среди пятидесяти ведущих российских компаний — лидеров технологического развития страны, работающих в индустрии информационных технологий(ИТ).
«Газинформсервис» — лидер рейтинга АЦ «Эксперт» по сотрудничеству с университетами
Компания «Газинформсервис» заняла первое место в рейтинге ИТ-компаний — лидеров по сотрудничеству с университетами по итогам исследования аналитического центра «Эксперт».
ИИ-агенты будут влиять на выручку бизнеса
По прогнозу IBM и Oxford Economics, к 2030 году главным риском для компаний станет не возможность ошибки, а излишняя осторожность.
Банковский троян научили писать знакомым жертвы от ее имени
Elastic Security Labs обнаружила новый бразильский банковский троян TCLBANKER.
Dirty Frag раскрыли раньше срока: Linux-системы получили риск локального захвата root
В Linux досрочно раскрыли уязвимость Dirty Frag, которая позволяет локальному пользователю повысить привилегии до root на основных дистрибутивах.
