LINUX.ORG.RU
ФорумTalks

ALL YOUR (VS)CODES ARE BELONG TO US

 , , ,


1

3

Привет, ЛОР!

Занимательное чтиво попалось мне. А именно, история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня и через полчаса тебе посыпится профит. Итак:

  1. Берём популярную цветовую тему.
  2. Меняем слегка название, пару цветов, рисуем логотип, добавляем вредоносный код. В данном случае, код просто отправляет содержимое открытого файла на наш сервер.
  3. Покупаем домен с названием нашей темы, настраиваем его и т.д.
  4. Заливаем тему в магазин приложений VSCode. Домена достаточно, чтобы наша тема получила официальную зелёную галочку рядом с именем. В package.json мы при этом можем указать ссылку на любой репозитарий на гитхабе, никто это не проверяет. Поэтому указываем репозитарий без зловреда.
  5. Ждём.
  6. ???????????
  7. PROFIT!!!11

Некие чуваки вот так всё сделали и уже на следующее утро их вредоносная тема была установлена сотней с лишним аболтусов, засветилась на главной странице с дополнениями к VSCode, а им самим стал прилетать в том числе проприетарный код из всяких крупных копрораций.

Мораль истории: ну ты понел.

Ссылка для !Ъ: https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 3)
Ответ на: комментарий от Bad_ptr

Новое тут то, что вывести вредоносное дополнение на главную страницу VSCode, оказывается, весьма просто. Ждём аналогичных историй из FlatHub и его убунтоидного аналога.

Ещё новое тут то, что MS никак не верифицирует, что загруженное дополнение соответствует заявленным исходникам в гите.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)

А я писал, что этот ваш VSCode – редкостное говнище. Нормальный софт на джава-скриптах не пишут. Просто потому что нормальные разработчики знают больше одного языка и умеют выбирать инструмент под задачу, в отличии от веб-макак.

quwy
()

… история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня

Так это относится не только к VSCode, но и вообще ко всему, где имеет место «коллективное творчество») Устанавливая что-то, созданное третьими лицами, вы им фактически полностью доверяете по части безопасности кода. Так что, осторожнее надо быть и не ставить что попало неизвестно от кого - ну, т.е. не быть совсем уж лохом. Против самого VSCode, кстати, ничего не имею против - вполне приличный и полезный продукт - от Microsoft)

vinvlad ★★
()

Так, кто последний в очереди указать, что собственно изначально «vscode не нужен», а уже потом всё остальное? Я уже в который раз убеждаюсь, что практически любые доселе чисто теоретические, или даже догматические опасения имеют свойство сбываться.

Smacker ★★★★★
()
Ответ на: комментарий от quwy

Тут бы взять и сделать вывод, что софт не из дистра не нужен, или *сторы, или *сторы без модерации, но нет, это ж новый вывод делать придется, а в межушной нейросети еще старый где-то оставался, там тоже такие буквы были.

t184256 ★★★★★
()
Ответ на: комментарий от vinvlad

Тут проблема-то не в том что любое дополнение может тебя трахнуть. Тут проблема в том, что ms якобы его верифицировало и дало ему зеленую галку, мол «вот эта штука ваще нормальная, не бойтесь поцоны». А по факту оно всех трахнуло.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

проблема в том, что ms якобы его верифицировало и дало ему зеленую галку, мол «вот эта штука ваще нормальная, не бойтесь поцоны».

Нигде не видел и не читал такого. Опять же, что подразумевать под «этой штукой»? - VSCode как таковой с его встроенными, фирменными расширениями и расширениями от других серьезных компаний или вообще всё включая прибамбасы от кого угодно?
Вы же не хаете веб-обозреватели за то, что у них есть свои магазины расширений.

vinvlad ★★
()
Ответ на: комментарий от cumvillain

Тут проблема в том, что ms якобы его верифицировало

Согласен, доверие верификациям от мс в чьих-то головах - это изначально проблема. Нашли кому доверять. Те же люди потом ставят оффтопик на голое железо без огороженных виртуалок снаружи, да ещё и дуалбутом на тот же диск где линукс стоит, думая что мс хорошие и ничего не напортят.

firkax ★★★★★
()
Ответ на: комментарий от vinvlad

Проблема находится уровнем выше - мс может безо всяких расширений украсть любые данные из своей IDE, если у неё будет на то коммерческий или политический (по гос заказу) интерес.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Проблема находится уровнем выше - мс может безо всяких расширений украсть любые данные из своей IDE

И чо?) Тоже самое может сделать любой софт в отношении доступных ему данных) Теперь вообще ничего не использовать?

vinvlad ★★
()
Ответ на: комментарий от vinvlad

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

Я вообще удивлён как за годы среди линукс-сообщества вырастилась толерантность к мс, раньше ж совсем не так было.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)

Мораль истории: ну ты понел.

Водка опять подорожает?

no-such-file ★★★★★
()
Ответ на: комментарий от firkax

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

Почему нет? Если код открытый.

This source code is available to everyone under the standard MIT license.
dmitry237 ★★★★
()

Цитата про яйца и неправилные двери.

thunar ★★★★★
()
Ответ на: комментарий от firkax

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

vscode открыт. И репутация у ms отличная, windows это ОС #1 на десктопах. На открытом рынке. С бесплатными альтернативами.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 3)
Ответ на: комментарий от firkax

Те же люди потом ставят оффтопик на голое железо без огороженных виртуалок снаружи, да ещё и дуалбутом на тот же диск где линукс стоит, думая что мс хорошие и ничего не напортят.

А что, они воровали что-то у пользователей? Ссылки на судебные разбирательства в студию.

cumvillain
()
Ответ на: комментарий от cumvillain

Воровать так, чтоб потом попасть в суд и как минимум публично спалиться, будет только дурак. Ну а про воровство по гос заказу точно никаких судов не будет.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Воровать так, чтоб потом попасть в суд и как минимум публично спалиться, будет только дурак. Ну а про воровство по гос заказу точно никаких судов не будет.

Ясно, значит не воруют. А разговоров-то было.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от firkax

Проблема в том, что любое расширение может сливать пользовательские данные?

grem ★★★★★
()
Ответ на: комментарий от cumvillain

расширение получило галку, что оно верифицировано. Верификации не было.

Верифицировано на что конкретно? И почему же не было?

We even had a domain name darculatheme.com, similar to the official draculatheme.com. Surprisingly the only thing you need to do to become a verified publisher on the VSCode Marketplace is the verify your domain, …

что и было честно выполнено.

vinvlad ★★
()
Ответ на: комментарий от dmitry237

Пусть код и открыт, но продукт же проприетарный. А альтернативным сборкам проход в магазин дополнений заказан.

andalevor ★★★
()
Ответ на: комментарий от cumvillain

vscode открыт

код открыт, а продукт проприетарный. ну и открытый код != свободное ПО.

vscode открыт

да-да. про EEE все слыхали. ms молодцы. отличная репутация

windows это ОС #1 на десктопах. На открытом рынке. С бесплатными альтернативами.

ну да. они ж никогда не заявлили всякие глупости из разряда «скачивая линукс, вы скачиваете коммунизм». ну и открытый рынок это прикол. я лично видел в одном магазине 2 ноута одной модели с 2мя ОС: линукс и винда. угадаешь какой был дороже?

andalevor ★★★
()
Ответ на: комментарий от cumvillain

Зачем что-то воровать, если пользователи (которые не читают лицензионное соглашение или пренебрегают сохранностью данных) сами свои данные несут в ручках мелкософту?

andalevor ★★★
()
Ответ на: комментарий от andalevor

Зачем что-то воровать, если пользователи (которые не читают лицензионное соглашение или пренебрегают сохранностью данных) сами свои данные несут в ручках мелкософту?

На ms работает большая часть компаний в мире. Где прецеденты-то?

cumvillain
()
Ответ на: комментарий от cumvillain

Это не верификация, это скам.

Скам - это то, что сделали авторы статьи переставив буквочки в названии исходного расширения и в своем домене)

vinvlad ★★
()
Ответ на: комментарий от andalevor

ну и открытый код != свободное ПО

Лолшто? Там MIT, свободнее некуда.

да-да. про EEE все слыхали. ms молодцы. отличная репутация

Какой в жопу EEE, vscode это продукт MS. Что они embrace and extinguish, свой собственный код? :DDDD

ну и открытый рынок это прикол. я лично видел в одном магазине 2 ноута одной модели с 2мя ОС: линукс и винда. угадаешь какой был дороже?

На четыре тыщи? Не смешно.

cumvillain
()
Ответ на: комментарий от vinvlad

Скам - это то, что сделали авторы статьи переставив буквочки в названии исходного расширения и в своем домене)

Все так. И получили галочку, сообщающую что эти парни проверенные, им можно доверять.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

Лолшто? Там MIT, свободнее некуда.

Я уже понял, что ты путаешь open source и free software. В 3й раз писать не надо. Просто почитай в чём разница.

Какой в жопу EEE, vscode это продукт MS

Это было к репутации ms, а не к vscode.

На четыре тыщи? Не смешно.

Похоже, ты предположил, что дешевле был ноут с линуксом на четыре тыщи, но нет. Дешевле был ноут с вендой. Не на много, на тысячу может (правда дело был лет 10 назад) но всё же. Я, конечно, понимаю каким образом такое могло получиться, но это опять про репутацию ms.

andalevor ★★★
()
Ответ на: комментарий от cumvillain

… Все так. И получили галочку, сообщающую что эти парни проверенные, им можно доверять.

Вы намеренно или чисто подсознательно придаете свой собственный смысл термину «verified publisher» - явно не соответствующий тому, что есть на самом деле. Не забывайте, что смысл каждого технического термина, относящегося к конкретному продукту, в принципе нельзя додумывать самостоятельно - для этого есть документация:

Verify a publisher
You can become a verified publisher by verifying ownership of an eligible domain associated with your brand or identity. Once your publisher is verified, the Marketplace will add a verified badge to your extension details.

https://code.visualstudio.com/api/working-with-extensions/publishing-extension

vinvlad ★★
()
Ответ на: комментарий от xDShot

Зачем же. Можно биток майнить. Можно тебе код модифицировать и показывать как будто он не модифицирован, но компилировать всё как надо. Так что ты сам соберёшь софт с майнером и поставишь его туда где твоя дрисня используется, чтоб она биток майнила.

peregrine ★★★★★
()
Ответ на: комментарий от cumvillain

Some programmers have even noticed that Copilot seems to copy their code in its resulting outputs. On Twitter, open-source users have documented examples of the software spitting out lines of code that are strikingly similar to the ones in their own repositories.

Думаешь пункт про сбор данных был включен в продукты ms по приколу?

andalevor ★★★
()
Ответ на: комментарий от andalevor

Не вижу особой разницы с точки зрения пользователя. Но тем не менее MS не запрещает самому собрать «свой VS Code» из их исходников. Так получился VS Codium, у которого таже MIT лицензия, но деактивирована MS-телеметрия, это основное отличие от VS Code.

The VSCodium project exists so that you don’t have to download+build from source. This project includes special build scripts that clone Microsoft’s vscode repo, run the build commands, and upload the resulting binaries for you to GitHub releases. These binaries are licensed under the MIT license. Telemetry is disabled.
dmitry237 ★★★★
()
Ответ на: комментарий от cumvillain

Ты глупый или прикидываешься? Код это не что-то материальное чтоб его кража была сразу заметна. А палиться на их месте, повторю, будут только идиоты, ну либо кто-то совсем наглый и уверенный в своей безнаказанности. Тайком зеркалировать интересующие данные себе на сервер они могут совершенно без видимых тебе «прецедентов», и это само по себе уже воровство. А как и когда это использовать дальше - уже другой вопрос, но и тут есть варианты делать это незаметно для окружающих.

firkax ★★★★★
()
Ответ на: комментарий от andalevor

Я уже понял, что ты путаешь open source и free software. В 3й раз писать не надо. Просто почитай в чём разница.

По чьей трактовке? Потому что у каждого задрота эти понятия свои.

Похоже, ты предположил, что дешевле был ноут с линуксом на четыре тыщи, но нет.

Ванга из тебя не очень.

Дешевле был ноут с вендой. Не на много, на тысячу может

Ну о чем и речь.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от firkax

Ты глупый или прикидываешься? Код это не что-то материальное чтоб его кража была сразу заметна. А палиться на их месте, повторю, будут только идиоты, ну либо кто-то совсем наглый и уверенный в своей безнаказанности. Тайком зеркалировать интересующие данные себе на сервер они могут совершенно без видимых тебе «прецедентов», и это само по себе уже воровство. А как и когда это использовать дальше - уже другой вопрос, но и тут есть варианты делать это незаметно для окружающих.

MS Windows система #1 уже лет тридцать во всем цивилизованном мире. Пруфы есть? Нет. Значит ты балабол.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от vinvlad

Вы намеренно или чисто подсознательно придаете свой собственный смысл термину «verified publisher» - явно не соответствующий тому, что есть на самом деле.

Нет, я намеренно придаю тот смысл зеленой галочке, который в ней видят пользователи: ДА, ВСЕ ЗАШИБИСЬ, ЭТОМУ ПАБЛИШЕРУ МОЖНО ВЕРИТЬ. Если зеленая галка на главной странице означает что-то другое – надо пойти к тем, кто это сделал, и объяснить им где и как они неправы. Что авторы статьи и сделали.

cumvillain
()
Ответ на: комментарий от firkax

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

Напомни, это MS недавно пыталась backdoor во все мейнстримные дистрибутивы линукса присунуть? Или это был опенсурсный проект с богатой историей?

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 3)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)