Привет, ЛОР!
Занимательное чтиво попалось мне. А именно, история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня и через полчаса тебе посыпится профит. Итак:
- Берём популярную цветовую тему.
- Меняем слегка название, пару цветов, рисуем логотип, добавляем вредоносный код. В данном случае, код просто отправляет содержимое открытого файла на наш сервер.
- Покупаем домен с названием нашей темы, настраиваем его и т.д.
- Заливаем тему в магазин приложений VSCode. Домена достаточно, чтобы наша тема получила официальную зелёную галочку рядом с именем. В package.json мы при этом можем указать ссылку на любой репозитарий на гитхабе, никто это не проверяет. Поэтому указываем репозитарий без зловреда.
- Ждём.
- ???????????
- PROFIT!!!11
Некие чуваки вот так всё сделали и уже на следующее утро их вредоносная тема была установлена сотней с лишним аболтусов, засветилась на главной странице с дополнениями к VSCode, а им самим стал прилетать в том числе проприетарный код из всяких крупных копрораций.
Мораль истории: ну ты понел.
Ссылка для !Ъ: https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7
