Se ha descubierto una vulnerabilidad de seguridad crítica en la extensión VS Remote-SSH de Microsoft que permite a los atacantes ejecutar código malicioso en las máquinas locales de los desarrolladores a través de servidores remotos comprometidos.
Los investigadores de seguridad han demostrado cómo este ataque, denominado “piratería de vibos”, explota la relación de confianza inherente entre los entornos de desarrollo remoto y las máquinas locales, que afectan tanto el código VS y las horquillas populares como el cursor.
La vulnerabilidad se deriva de una idea errónea peligrosa entre los desarrolladores que creen que los entornos de desarrollo remoto proporcionan un aislamiento completo.
Control de llave
1. Vs Code Remote-SSH Extension permite a los atacantes ejecutar código malicioso en las máquinas locales de los desarrolladores.
2. Los atacantes usan comandos incorporados para abrir terminales locales y ejecutar automáticamente código arbitrario.
3. Exponiendo sus estaciones de trabajo a compromiso cuando se conecta a servidores no confiables.
Sin embargo, una vez que un servidor se ve comprometido, los atacantes pueden girar fácilmente a la máquina local del desarrollador a través de la funcionalidad incorporada de la extensión de SSH-SSH.
Explotación de comandos integrados
Calif informa que el ataque aprovecha dos comandos específicos de código VS que funcionan dentro de la configuración predeterminada.
Las extensiones maliciosas en los servidores comprometidos pueden ejecutar el comando de Workbench.Action.Merminal.newlocal para abrir un terminal directamente en la máquina local del desarrollador, pasando por completo el entorno remoto.
Cadena de ataque
Una vez que se establece el terminal local, los atacantes implementan el comando Workbench.action.merminal.sendSequence para enviar secuencias de texto arbitrarias al terminal.
Al agregar un carácter nuevo, el código malicioso se ejecuta automáticamente como si el desarrollador presionara Enter. Esta técnica transforma efectivamente el entorno de desarrollo confiable en un canal de comando y control, lee el informe.
El ataque funciona a la perfección porque la extensión remota-SSH confía inherentemente en las comunicaciones desde el servidor remoto.
Cuando los desarrolladores se conectan a lo que creen que es un entorno de sandbox aislado, sin saberlo, exponen sus máquinas locales al posible compromiso.
Estrategias de mitigación
Microsoft ha reconocido estos riesgos en la página del mercado de extensiones remotas-SSH, advirtiendo que “un control remoto comprometido podría usar la conexión remota del código VS para ejecutar código en su máquina local”.
Sin embargo, esta advertencia no ha impedido la adopción generalizada de prácticas de desarrollo remoto, particularmente para la implementación y las pruebas de agentes de IA.
Los investigadores de seguridad sugieren implementar mecanismos de aprobación del usuario cuando las extensiones remotas intentan abrir terminales locales o enviar pulsaciones de teclas a terminales activos.
El monitoreo del directorio ~/.
La vulnerabilidad destaca la necesidad de diseños seguros por defecto en herramientas de desarrollo que no dependen de que los usuarios tomen decisiones de confianza complejas.
A medida que el desarrollo remoto continúa creciendo en popularidad, abordar estos problemas de seguridad fundamentales se vuelve cada vez más crítico para proteger las estaciones de trabajo de los desarrolladores de los sofisticados ataques de la cadena de suministro.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
.webp?w=1600&resize=1600,900&ssl=1){kind=link}