LINUX.ORG.RU
ФорумTalks

ALL YOUR (VS)CODES ARE BELONG TO US

 , , ,


1

3

Привет, ЛОР!

Занимательное чтиво попалось мне. А именно, история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня и через полчаса тебе посыпится профит. Итак:

  1. Берём популярную цветовую тему.
  2. Меняем слегка название, пару цветов, рисуем логотип, добавляем вредоносный код. В данном случае, код просто отправляет содержимое открытого файла на наш сервер.
  3. Покупаем домен с названием нашей темы, настраиваем его и т.д.
  4. Заливаем тему в магазин приложений VSCode. Домена достаточно, чтобы наша тема получила официальную зелёную галочку рядом с именем. В package.json мы при этом можем указать ссылку на любой репозитарий на гитхабе, никто это не проверяет. Поэтому указываем репозитарий без зловреда.
  5. Ждём.
  6. ???????????
  7. PROFIT!!!11

Некие чуваки вот так всё сделали и уже на следующее утро их вредоносная тема была установлена сотней с лишним аболтусов, засветилась на главной странице с дополнениями к VSCode, а им самим стал прилетать в том числе проприетарный код из всяких крупных копрораций.

Мораль истории: ну ты понел.

Ссылка для !Ъ: https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 3)

VSCode
Берём популярную цветовую тему.

А оно вообще зачем? Как-то код «радужнее» писать получается?

anc ★★★★★
()
Ответ на: комментарий от cumvillain

А оно вообще зачем? Как-то код «радужнее» писать получается?

Людям нравятся красивые вещи.

Вы из тех кто молоток, отвертку, гаечный ключ, топор, пилу, болгарку &etc подбираете по принципу «лишь бы красиво»?

anc ★★★★★
()
Ответ на: комментарий от anc

Вы из тех кто молоток, отвертку, гаечный ключ, топор, пилу, болгарку &etc подбираете по принципу «лишь бы красиво»?

Ты видимо не видел мастерские скульпторов. Украшение инструментов – наверное древнейшая форма тюнинга.

cumvillain
()
Ответ на: комментарий от anc

Не путайте скульптора с дровосеком.

У папы вся бензопила была обклеена стикерами с голыми бабами. Сорян, это везде такое. Оттуда же засечки на автоматах, акульи морды на самолетах и прочее народное творчество.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

а мелкософт и не способен проверить все сторонние библиотеки, которые ставятся вообще через npm… Это главная причина по которой VS Code от рута запускать не надо, его бы по-хорошему в Flatpak засунуть, но он тогда становится неюзабельным чуть менее чем полностью

rtxtxtrx ★★
()
Ответ на: комментарий от cumvillain

У папы все бензопила была обклеена стикерами с голыми бабами.
была

Куда делась?

акульи морды на самолетах

И давно самолёты стали инструментом?

anc ★★★★★
()
Ответ на: комментарий от rtxtxtrx

а мелкософт и не способен проверить все сторонние библиотеки, которые ставятся вообще через npm…

Нет, но он может хотя бы формально верифицировать, что проект Darcula не пытается выдать себя за проект Dracula (что происходит в статье). К тому же, Apple же как-то справляется со своим стором?

Это главная причина по которой VS Code от рута запускать не надо, его бы по-хорошему в Flatpak засунуть, но он тогда становится неюзабельным чуть менее чем полностью

Все что интересно стырить через VS Code доступно без рута.

cumvillain
()
Ответ на: комментарий от andalevor

Я, конечно, понимаю каким образом такое могло получиться, но это опять про репутацию ms.

Вот когда весь дружный мировой опенсорц осилит родить ХОТЯ БЫ ОДИН НОРМАЛЬНЫЙ БЛОКНОТ, тогда и начинайте осторожно задирать лапу на чью-то репутацию. А до тех пор да, ноуты на люниксах будут стоить дороже, потому что психиатры для сотрудников гарантийных отделов задаром не работают.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от rtxtxtrx

неюзабельным чуть менее чем полностью

То есть полностью юзабельным?

u5er ★★
()
Последнее исправление: u5er (всего исправлений: 1)
Ответ на: комментарий от rtxtxtrx

ssh-ключи у меня запаролены. тырь

Во-первых, твои ssh ключи никому не всрались. Во-вторых, ничто не мешает запустить диалог во время работы с VSCode «введите пароль для вашего SSH ключа», получить пароль, расшифровать и стырить. Я знаю что ты мне сейчас скажешь ОЛОЛОЛО Я СРАЗУ ЗАМЕЧУ ЧТО ЧТО-ТО НЕ ТАК. Как показывает практика, либо не заметишь, либо окажешься одним из сотни параноиков. А твой коллега – нет.

cumvillain
()
Ответ на: комментарий от cumvillain

Нет, я намеренно придаю тот смысл зеленой галочке, который в ней видят пользователи: …

Вы уж как-то слишком сильно обобщаете на всех свое индивидуальное восприятие визуальной информации) Я, например, вообще никогда не обращал внимание на галочки - только сейчас узнал их значение)) Меня всегда больше интересует авторство расширения, количество скачиваний и упоминание расширения в основной документации и в инете. Всегда заглядываю на соответствующую github-страничку.

… Что авторы статьи и сделали

Авторы статьи «подделали» название популярного расширения рассчитывая на невнимательность пользователей, что в конечном итоге и имело место. Галка, если и потребовалась, то только для имитации «солидного» расширения, имеющего домен - не больше.

vinvlad ★★
()
Последнее исправление: vinvlad (всего исправлений: 1)
Ответ на: комментарий от vinvlad

Вы уж как-то слишком сильно обобщаете на всех свое индивидуальное восприятие визуальной информации) Я, например, вообще никогда не обращал внимание на галочки - только сейчас узнал их значение)) Меня всегда больше интересует авторство расширения, количество скачиваний и упоминание расширения в основной документации и в инете. Всегда заглядываю на соответствующую github-страничку.

А сотни скачавших этого не сделали.

Авторы статьи «подделали» название расширения рассчитывая на невнимательность пользователей, что в конечном итоге и имело место. Галка, если и потребовалась, то только для имитации «солидного» расширения, имеющего домен - не больше.

Смотри-ка, догадался. Я тебе сейчас скажу ужасную вещь: для большинства пользователей факт наличия галки / корки / удостоверения сразу же убирает любые сомнения. Можно попытаться воспитать поколение сверхлюдей, для которых это не так, а можно UX поправить.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

… А сотни скачавших этого не делают.

Вы опять фантазируете за других - сотни скачавших расширение просто купились на «поддельное» название популярного расширения и «поддельное» название соответствующего домена, поскольку отсутствие домена действительно бросилось бы в глаза. Впрочем, можете думать как угодно -ваше право)

vinvlad ★★
()
Ответ на: комментарий от vinvlad

Вы опять фантазируете за других - сотни скачавших расширение просто купились на «поддельное» название популярного расширения и «поддельное» название соответствующего домена, поскольку отсутствие домена действительно бросилось бы в глаза.

Они это расширение увидели только благодаря тому, что:

  • Оно было на главной (чуваки влегкую накрутили счетчик просмотров скриптом в контейнере)
  • Оно было помечено как верифицированное (что дает очков для попадания на главную)
  • Ссылка на Github вела на оригинальный репозиторий (потому что не проверяется, что ссылки совпадают с верифицированным доменом)
cumvillain
()
Ответ на: комментарий от cumvillain

Ну, я думаю, определяющим все же был первый пункт и «поддельное» название популярного расширения - остальное чисто для визуального оформления «солидного» расширения:

Feeling inspired we decided to take the popular Dracula theme named “Dracula Official” (with over +6,000,000 installs) and create our own copycat “Darcula Official”.

Замечу, что многие устанавливают расширения посредством самого VSCode вообще не заходя в магазин.

vinvlad ★★
()
Ответ на: комментарий от cumvillain

Напомни, это MS недавно пыталась backdoor во все мейнстримные дистрибутивы линукса присунуть?

Да кто туда только не пытался бэкдоров совать. Например, NSA:

https://miracl.com/blog/backdoors-in-nist-elliptic-curves/

Или доебанщики сами себе бэкдор в SSH сунули:

https://threatpost.com/how-debian-openssl-bug-almost-spawned-disaster-051809/72669/

Забэкдорить лялекс – это не rocket science, когда у тебя и так в каждой версии есть неисправленный local privilege escalation.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от thesis

Вот когда весь дружный мировой опенсорц осилит родить ХОТЯ БЫ ОДИН НОРМАЛЬНЫЙ БЛОКНОТ

Ну, KWrite.

А вообще emacs рулет.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от cumvillain

… суть этой статьи заключается вовсе не в «галке», к которой вы прицепились, а в том, что в магазине отсутствует строгая модерация расширений и автоматическая проверка на всевозможные злоупотребления (на вирусы все же проверяют). Хотя, я думаю, этот цикл статей еще является и просто маркетинговым трюком для популяризации собственного продукта дополнительной проверки расширений на безопасность.

vinvlad ★★
()
Ответ на: комментарий от anc

А оно вообще зачем? Как-то код «радужнее» писать получается?

Не знаю, чувак. У меня в emacs монохромная тема. И голые бабы.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от vinvlad

… суть этой статьи заключается вовсе не в «галке», к которой вы прицепились, а в том, что в магазине отсутствует строгая модерация расширений и автоматическая проверка на всевозможные злоупотребления (на вирусы все же проверяют). Хотя, я думаю, этот цикл статей еще является и просто маркетинговым трюком для популяризации собственного продукта дополнительной проверки расширений на безопасность.

Я не знаю зачем ты мне начал доказывать что галка все правильно делает. Это очевидно плохой UX. Проблема тоже очевидно не только в ней.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

Речь ваще не о том. @firkax тут заливает о какой-то плохой репутации MS. Правда не может вспомнить, что они такого плохого сделали.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от no-such-file

Технически туда тоже может прилететь чопопало. В т.ч. и в цветовой теме.

Да, но нет. В ELPA и MELPA премодерация, в отличие от VSCode Marketplace. Совершенно другая культура.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

В ELPA и MELPA премодерация

Каждой версии или только первого сабмита? Если только первого сабмита, то это одно и то же с дополнительным шагом.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 2)
Ответ на: комментарий от dmitry237

Не вижу особой разницы с точки зрения пользователя.

Как минимум сборка без телеметрии это уже разница для пользователя. Кроме того, vscode это всё же не для домохозяек продукт.

Так получился VS Codium, у которого таже MIT лицензия, но деактивирована MS-телеметрия

И доступ к каталогу дополнений. Что для конфигурируемого редактора устремляет осмысленность такой сборки к нулю. Есть, конечно, у vscodium свой каталог дополнений, но когда я последний раз смотрел, то наполненность просто нельзя было даже сравнивать с каталогом от ms. При этом, я не нашёл никакой информации о необходимости ограничения доступа для сторонних сборок в интересах пользователей. Т.е. это чуть трансформированный EEE под прикрытием open source.

andalevor ★★★
()
Ответ на: комментарий от andalevor

Т.е. это чуть трансформированный EEE под прикрытием open source.

Ты просто очень хочешь притянуть сюда EEE. Вторая буква E (Extend) говорит о практике, когда MS врывалась в стандарты, слегка их правила, добавляла проприетарных плюшек и пушила в массы. Очевидным образом, когда MS пишет свой редактор под свободной лицензией, ни о каком Extend речи идти не может – это их продукт, которым они поделились. Сделай свой стор, позови туда авторов, и будет тебе счастье в VS Codium. Просто ты не можешь, потому что опенсурс сообщество превратилось в стадо импотентов, которые даже GUI библиотеку написать не могут.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

Речь ваще не о том. @firkax тут заливает о какой-то плохой репутации MS. Правда не может вспомнить, что они такого плохого сделали.

Это потому что он старый маразматик, его мозг запрограммирован на C и из-за этого полон дыр и течёт памятью.

А я вот могу: можем начать с бесконечных угроз патентных исков против линуксовых вендоров в 2000х (одним из смешных следствий чего стал всратый дизайн гнума лол) и заканчивая довольно кабальными OEM-соглашениями с вендорами железа, по которым те не могли поставлять ляптопы с другими ОС, если они хотели продавать ляптопы с Windows.

От себя хочу добавить, что любой сайт или сервис, которые покупают Microsoft, сразу превращается в чудовищное неюзабельное говно. Примеров вагон: Skype, LinkedIn, GitHub. Последние два и так были не фонтан, но с переходов в лоно MS они стали вообще полным трешаком.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от cumvillain

Каждой версии или только первого сабмита? Если только первого сабмита, то это одно и то же с дополнительным шагом.

С каждой. У авторов нет контроля над тем, что попадает в ELPA/MELPA, эти каталоги дёргают код из гита и сами дальше распространяют. Т.е. ты им кидаешь ссылку на репозитарий и коммит, который надо опакетить и всё. Заодно при этом ты им не можешь присунуть дырявый тарбол, оставив git чистым.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

А я вот могу: можем начать с бесконечных угроз патентных исков против линуксовых вендоров в 2000х (одним из смешных следствий чего стал всратый дизайн гнума лол) и заканчивая довольно кабальными OEM-соглашениями с вендорами железа, по которым те не могли поставлять ляптопы с другими ОС, если они хотели продавать ляптопы с Windows.

И вроде бы да, но так делает буквально любая корпорация, которая дорывается до монополии.

От себя хочу добавить, что любой сайт или сервис, которые покупают Microsoft, сразу превращается в чудовищное неюзабельное говно. Примеров вагон: Skype, LinkedIn, GitHub. Последние два и так были не фонтан, но с переходов в лоно MS они стали вообще полным трешаком.

Большая часть опенсурс сервисов бывает такими с самого начала. Делает ли это их UX всратым? О да. Но репутация (в контексте воровства данных) тут ваще не при чем.

cumvillain
()
Ответ на: комментарий от cumvillain

По чьей трактовке? Потому что у каждого задрота эти понятия свои.

Я не встречал каких-то разночтений на этот счёт. Если у тебя есть ссылки, где утверждается, что open source == free software, то давай в студию.

Ванга из тебя не очень.

Да эт не вангование, а попытки распарсить твои обрывочные фразы. Если не хочешь чтобы люди мучались в попытках понять что там у тебя в голове по твоим постам, попробуй формулировать понятнее.

Ну о чем и речь.

Так это и есть для тебя открытый рынок? =D

andalevor ★★★
()
Ответ на: комментарий от hateyoufeel

С каждой. У авторов нет контроля над тем, что попадает в ELPA/MELPA, эти каталоги дёргают код из гита и сами дальше распространяют. Т.е. ты им кидаешь ссылку на репозитарий и коммит, который надо опакетить и всё. Заодно при этом ты им не можешь присунуть дырявый тарбол, оставив git чистым.

Тогда отличненько. Хоть тут задроты шмогли.

cumvillain
()
Ответ на: комментарий от cumvillain

И вроде бы да, но так делает буквально любая корпорация, которая дорывается до монополии.

А можно примеры других корпораций, которые бы настолько поднасрали люнексоедам?

Большая часть опенсурс сервисов бывает такими с самого начала. Делает ли это их UX всратым? О да.

Ваще ни разу. UI и UX гитеи весьма офигенен, в сравнении с гитхабом. Про опенсорсные аналоги LinkedIn я не знаю, потому что это просто раковник.

Но репутация (в контексте воровства данных) тут ваще не при чем.

А.. ну, неотключаемая нормально телеметрия в Windows, которая в том числе сообщает какой софт ты запускаешь, это уже воровство данных или ещё нет?

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от andalevor

Я не встречал каких-то разночтений на этот счёт. Если у тебя есть ссылки, где утверждается, что open source == free software, то давай в студию.

У меня есть ссылки где толпы мозолеедов о чем-то срутся. Я не хочу туда лезть. Есть сорцы под адекватной лицензией и без дополнительных условий? Софт свободный.

Так это и есть для тебя открытый рынок? =D

Да? Разница в тысячу рублей это просто смешно. Если бы ты не мог купить ляптоп без венды, а снос венды стоил существенных денег – это была бы проблема. А если ты платишь не 50000р, а 51000р, то это все в рамках погрешности и вообще насрать.

cumvillain
()
Ответ на: комментарий от cumvillain

Каким образом Copilot связан с установкой венды?

Ещё раз. В первую очередь мой тезис в том, что у ms отвратительная репутация и причин тому более чем достаточно. Выискивать проблемы с каждым из их продуктов я не намерен. Но если речь зашло о венде, то её я не поставлю на своё железо потому что не хочу чтобы мне грозили судами за отключение обновлений.

andalevor ★★★
()
Ответ на: комментарий от hateyoufeel

А можно примеры других корпораций, которые бы настолько поднасрали люнексоедам?

А поднасрали? Ну то есть да, они что-то пытались делать, но разве ляптопов, на которые лялекс можно накатить, стало как-то сильно меньше?

Ваще ни разу. UI и UX гитеи весьма офигенен, в сравнении с гитхабом.

На один хороший UX мы можем найти один плохой UX. Суть в том, что это не влияет на репутацию.

А.. ну, неотключаемая нормально телеметрия в Windows, которая в том числе сообщает какой софт ты запускаешь, это уже воровство данных или ещё нет?

Это неприятно, но такое же активно пушили федорасы и убунта. В любом случае, это не имеет никакого отношения к данным: исходному коду твоих приватных проектов, твоей кредитке, фоткам голых жоп твоих шлюх.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 2)
Ответ на: комментарий от andalevor

Ещё раз. В первую очередь мой тезис в том, что у ms отвратительная репутация и причин тому более чем достаточно.

И эти причины ты почему-то привести не можешь (в разрезе MS Windows), притягивая за уши опциональный Copilot, который сразу тебе говорит что будет использовать твой код для обучения.

Выискивать проблемы с каждым из их продуктов я не намерен.

Потому что ты повторюшка-дядя-хрюшка, которого когда-то научили кричать АААА МС ГОВНО ВПОПЕНСУСРС СИЛА. Вот с тех пор ты это и кричишь, не особо применяя при этом мозг.

Но если речь зашло о венде, то её я не поставлю на своё железо потому что не хочу чтобы мне грозили судами за отключение обновлений.

Лолшто? :DDDDDDD

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 2)
Ответ на: комментарий от cumvillain

А поднасрали? Ну то есть да, они что-то пытались делать, но разве ляптопов, на которые лялекс можно накатить, стало как-то сильно меньше?

Подавляющее большинство юзеров всегда используют дефолт. Многие даже заставку не мешают на экране. Я не шучу. Соответственно, сделав виндоус дефолтом нетехническими методами MS добились превосходства на этом рынке. Соответственно, Windows может быть насколько угодно отвратительной, юзеры это схавают.

На один хороший UX мы можем найти один плохой UX. Суть в том, что это не влияет на репутацию.

Ты не понял мой аргумент тут. Аргумент такой: MS делают сервисы, которые они покупают, хуже. Примеров обратного не найдено.

Это неприятно, но такое же активно пушили федорасы и убунта.

Нет, не пушили. В Ubuntu телеметрия:

  1. отключаемая
  2. передаёт сильно меньше данных, без отчётов о запущенном софте
  3. спрашивает разрешение включиться при установке системы
  4. показывает пример данных, которые она передаёт

В любом случае, это не имеет никакого отношения к данным: исходному коду твоих приватных проектов, твоей кредитке, фоткам голых жоп твоих шлюх.

Зато Windows Recall, делающая скриншоты экрана, имеет.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от cumvillain

Но если речь зашло о венде, то её я не поставлю на своё железо потому что не хочу чтобы мне грозили судами за отключение обновлений.

Лолшто? :DDDDDDD

Конкретно ему вряд ли кто-то пригрозит, но вот в США есть такая штука как DMCA, которая в том числе запрещает обход средств защиты от копирования. Если MS всунет защиту от копирования (например венды) в Windows Update, то вполне потянет на повод для иска.

Так что конкретно вот этот ЛОРовский шизофреник весьма недалёк от истины.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от cumvillain

… Я не знаю зачем ты мне начал доказывать что галка все правильно делает. Это очевидно плохой UX.

«Тут проблема-то не в том что любое дополнение может тебя трахнуть. Тут проблема в том, что ms якобы его верифицировало и дало ему зеленую галку, мол «вот эта штука ваще нормальная, не бойтесь поцоны». А по факту оно всех трахнуло.»

Твои слова? Вот к ним я и сделал замечание-пояснение, повлекшее дальнейший разговор - конкретно, к «ms якобы его верифицировало» и к «вот эта штука ваще нормальная, не бойтесь поцоны».

От просовывания скама никто не застрахован, и никаким интерфейсом это не победить. Да и сама статья совсем не про недостатки UX.

vinvlad ★★
()
Ответ на: комментарий от hateyoufeel

Подавляющее большинство юзеров всегда используют дефолт. Многие даже заставку не мешают на экране. Я не шучу. Соответственно, сделав виндоус дефолтом нетехническими методами MS добились превосходства на этом рынке. Соответственно, Windows может быть насколько угодно отвратительной, юзеры это схавают.

Когда они сделали Windows дефолтом, ни о каком десктопном ляликсе ещё речи не шло.

Ты не понял мой аргумент тут. Аргумент такой: MS делают сервисы, которые они покупают, хуже.

Хуже для кого? Skype for Business оказался весьма востребован.

Нет, не пушили.

Оно чуть лучше, но попытки протащить больше телеметрии были. Их откатывали только потому что юзеры бугуртили. Что, в целом, хорошо.

передаёт сильно меньше данных, без отчётов о запущенном софте

Но передает установленный, что в большинстве случаев то же самое.

cumvillain
()
Ответ на: комментарий от vinvlad

Твои слова? Вот к ним я и сделал замечание-пояснение, повлекшее дальнейший разговор - конкретно, к «ms якобы его верифицировало» и к «вот эта штука ваще нормальная, не бойтесь поцоны».

В других сторах верификация – это верификация. Как выяснилось, даже у задротов в Emacs. Здесь это фикция.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

Конкретно ему вряд ли кто-то пригрозит, но вот в США есть такая штука как DMCA, которая в том числе запрещает обход средств защиты от копирования. Если MS всунет защиту от копирования (например венды) в Windows Update, то вполне потянет на повод для иска.

Это все сильно зависит от позиции суда, и, насколько я знаю, прецедентов пока не было.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)