- Tim keamanan menemukan 12 ekstensi VSCode berbahaya; empat di antaranya masih tersedia dan berisiko.
- Ancamannya berkisar dari eksfiltrasi kode dan pencurian kredensial hingga reverse shell dan RCE persisten.
- Open VSX melihat RAT yang dijuluki SleepyDuck menggunakan kontrak Ethereum untuk C2 yang tangguh.
- Riset menunjukkan 5.6% dari 52,880 ekstensi menunjukkan perilaku mencurigakan, dengan total 613 juta pemasangan.
Pengembang semakin menghadapi risiko yang disebabkan oleh ekstensi di dalam editor yang mereka gunakan setiap hari, dan Kode Visual Studio (VSCode) menjadi pusat alarm terbaru. Investigasi telah mengaitkan sejumlah daftar di marketplace dengan pengumpulan data agresif, pencurian kredensial, dan bahkan akses jarak jauh rahasia pada mesin yang digunakan untuk proyek perangkat lunak.
Yang membuat situasi ini semakin rumit adalah beberapa paket masih dapat diunduh berdasarkan laporan terbaru, yang berarti masalahnya bukan sekadar teori. Aktivitas ini mencakup pasar resmi dan Open VSX, yang menyoroti bagaimana Ekosistem ekstensi IDE telah menjadi a target bernilai tinggi untuk serangan rantai pasokan.
Apa yang ditemukan peneliti di ekosistem VS Code
Beberapa tim, termasuk HelixGuard dan peneliti keamanan lainnya, mendokumentasikan setidaknya selusin unggahan berbahaya di Microsoft VSCode Marketplace dan Open VSX. Yang terpenting, empat di antaranya dilaporkan masih aktif: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, dan sahil92552.CBE-456.
Paket-paket ini jauh melampaui telemetri yang tidak berbahaya. Analis mengamati pencurian pengenal mesin, nama proyek, file sumber lengkap, riwayat pencarian di dalam editor, perintah obrolan AI, fragmen kode yang dipilih, konten papan klip, dan bahkan tangkapan layar yang diambil selama pekerjaan sehari-hari.
Satu titik data yang sering dikutip menggambarkan risiko yang lebih luas: sebuah tinjauan akademis terhadap ekosistem memperkirakan bahwa sekitar 5.6% dari 52,880 ekstensi VSCode yang diperiksa menunjukkan pola perilaku mencurigakan —dan entri-entri yang berpotensi berisiko tersebut secara kolektif mencakup lebih dari 613 juta pemasangan.
Bagaimana eksfiltrasi sebenarnya terjadi
Perilakunya bervariasi berdasarkan paket, tetapi tujuannya konsisten: mendapatkan data sensitif tanpa memberi tahu pengguna. Misalnya, para analis mengatakan Christine-devops1234.scraper menyalurkan serangkaian detail pengguna dan proyek yang luas — termasuk seluruh konten file dan kueri dalam IDE — ke infrastruktur penyerang di 35.164.75.62:8080.
Sementara itu, Kodease.fyp-23-s2-08 merutekan cuplikan curian melalui Ngrok, menyamarkan eksfiltrasi sebagai fitur untuk pembuatan komentar bergaya AI. Kode yang diperiksa menormalkan konten (misalnya, menghapus spasi) dan mengirimkannya dalam permintaan HTTPS POST sehingga lalu lintas berbaur sebagai fungsi bantuan yang sah.
Selain pencurian kode, plugin bergaya pengawasan juga turut berperan. Sebuah plugin yang diidentifikasi sebagai BX-Dev.Blackstone-DLP terlihat mengambil tangkapan layar dan memantau papan klip, kombinasi yang dapat menyedot secara diam-diam kredensial, token, dan fragmen sensitif dari logika kepemilikan.
Para peneliti juga menandai sebuah ekstensi bernama VKTeam.ru yang secara selektif menargetkan konteks korporat. Ia memeriksa keanggotaan domain VK.com dan, ketika kondisinya cocok, mengumpulkan data domain Windows seperti nama pengguna, nama host, dan detail sistem — sebuah pengintaian lingkungan langkah.
Dari memata-matai hingga kompromi mesin penuh
Beberapa entri bertujuan jauh melampaui pengumpulan data dan beralih ke eksekusi perintah. Paket teste123444212.teste123444212 dilaporkan mempertahankan koneksi persisten ke sumber daya AWS yang dikendalikan penyerang, secara efektif menyediakan saluran untuk eksekusi perintah jarak jauh pada host pengembang.
Contoh lain, ToToRoManComp.diff-alat-vsc, menyebarkan shell terbalik Perl yang dikodekan Base64 yang menjangkau 89.104.69.35 di pelabuhan 445, menyerahkan akses interaktif setelah terhubung. Muatan semacam itu memberi musuh kendali menyeluruh di luar editor itu sendiri.
Aktivitas jahat yang terkait dengan Deriv-AI.deriv-ai meningkat lebih jauh dengan mengambil dan meluncurkan trojan yang dijuluki “nightpaw,” memungkinkan pengintaian yang lebih dalam dan tahan lama Remote Access pada sistem yang terganggu.
Kasus VSX terbuka: SleepyDuck bersembunyi di balik alat Solidity
Pada registri Open VSX yang digerakkan oleh komunitas, para penyelidik melacak trojan akses jarak jauh yang dijuluki Bebek Mengantuk menyamar sebagai ekstensi Solidity bernama juan-bianco.solidity-vlangIni menarik lebih dari Download 53,000 dan tetap terlihat dengan peringatan platform; yang lebih penting, virus tersebut awalnya tidak berbahaya saat dikirimkan, tetapi memperoleh komponen berbahayanya dalam pembaruan berikutnya.
Trik unggulan SleepyDuck adalah ketahanan: ia memanfaatkan Kontrak pintar Ethereum untuk menyimpan dan memperbarui detail perintah dan kontrolnya. Jika C2 default di sleepyduckxyz hilang, malware dapat meminta instruksi baru ke blockchain, termasuk alamat server baru dan interval polling yang direvisi.
Jalur aktivasi disesuaikan dengan alur kerja pengembang. Ekstensi ini aktif saat editor dimulai, saat membuka file Solidity, atau saat perintah kompilasi Solidity dipanggil. Ekstensi ini membuang file kunci untuk memastikannya berjalan sekali per host dan memanggil sham. webpack.init() dari skrip ekstensinya untuk berbaur, lalu memuat muatan berbahaya.
Setelah inisialisasi, analis mengamati malware tersebut mengumpulkan pengidentifikasi sistem dasar (nama host/pengguna, MAC, dan zona waktu) dan menyiapkan sandbox untuk eksekusi perintah. Sandbox tersebut menemukan titik akhir Ethereum RPC yang cepat, membaca kontrak pintar untuk konfigurasi saat ini, dan memasuki loop polling yang memposting data host dan memeriksa tugas yang harus dijalankan.
Insiden terpisah yang menargetkan pengembang Solidity
Pada awal tahun ini, para peneliti juga melaporkan adanya paket palsu yang diberi merek “Bahasa Soliditas” pembantu di Open VSX. Yang satu itu diduga menjalankan skrip PowerShell, menjatuhkan alat akses jarak jauh, dan menyedot frasa sandi dompet kripto; seorang pengembang secara terbuka mengklaim kerugian sekitar US $ 500,000Daftar tersebut telah diunduh puluhan ribu kali sebelum dihapus dan dilaporkan muncul kembali dengan nama baru segera setelahnya.
Penargetan berulang terhadap pengembang kontrak pintar bukanlah suatu kebetulan. Para pengguna ini seringkali memiliki akses dompet dan berinteraksi dengan infrastruktur keuangan, sehingga mereka target bernilai tinggi untuk penyerang yang ingin mendapatkan uang dengan cepat.
Gambaran yang lebih besar: skala dan insentif
Angka-angka ini menggambarkan gambaran yang menyedihkan: penelitian menunjukkan bahwa sekitar 5.6% dari 52,880 ekstensi yang ditinjau menunjukkan tanda-tanda pelanggaran kebijakan atau sifat berisiko — dan total instalasi untuk entri tersebut melebihi 613 jutaDengan jejak VSCode yang besar dan munculnya Perkakas berbantuan AI, pelaku ancaman diberi insentif untuk bersembunyi di dalam add-on pengembang sudah percaya.
Faktor lainnya adalah hak istimewa. Ekstensi beroperasi dengan kemampuan yang sama seperti editor — membaca berkas, memunculkan proses, dan melakukan panggilan jaringan — yang memperluas radius serangan. Dengan menyembunyikan eksfiltrasi dalam fitur seperti saran kode atau pembuatan komentar, penyerang membuat lalu lintas berbahaya terlihat seperti aktivitas pengembangan yang normal.
Apa yang harus dilakukan tim saat ini?
Para pemimpin keamanan dan pengembang individu dapat mengurangi paparan dengan beberapa langkah disiplin, memprioritaskan visibilitas dan pengaturan default yang kuat yang mengekang instalasi berisiko sekaligus menjaga produktivitas tetap terjaga. Kombinasi praktis tata kelola dan pemantauan membuat perbedaan terbesar.
- Audit ekstensi yang terpasang sesuai jadwal; hapus ekstensi yang tidak dikenal, baru dibuat, atau bereputasi rendah. Pertimbangkan daftar yang diizinkan untuk plugin yang disetujui.
- Pantau keluarnya dari titik akhir pengembang untuk tujuan yang tidak biasa (misalnya, IP C2 yang diketahui, terowongan yang tidak terduga seperti Ngrok).
- Tinjau sumber ekstensi jika memungkinkan, terutama yang menyentuh rahasia atau jalur kode sensitif; pin versi jika Anda harus menggunakannya.
- Berhati-hatilah dengan pembaruan otomatis; lacak changelog dan perubahan penerbit untuk menghindari kejutan poros rantai pasokan.
- Perkuat titik akhir dengan EDR/AV, firewall lokal, dan hak istimewa paling rendah; pisahkan rahasia build dan gunakan kredensial dengan cakupan token.
- Melatih pengembang mengenai risiko ekstensi, verifikasi penerbit, dan pelaporan/eskalasi cepat atas hal-hal yang mencurigakan perilaku editor.
Respon pasar dan perbaikan berkelanjutan
Open VSX, yang semakin populer dengan IDE yang mendukung AI seperti Cursor dan Windsurf, telah mengumumkan peningkatan keamanan: masa pakai token yang lebih pendek, pencabutan token yang lebih cepat kredensial bocor, pemindaian yang lebih otomatis, dan peningkatan berbagi informasi dengan tim VS Code tentang ancaman yang muncul.
Bahkan dengan langkah-langkah tersebut, keamanan ekosistem masih menjadi target yang terus berubah. Para penyerang melakukan iterasi dengan cepat; mereka mengubah merek paket, mengirimkan pembaruan berbahaya ke proyek yang sebelumnya tidak berbahaya, dan menyamarkan lalu lintas dengan kedok kemudahan pengembangKewaspadaan masyarakat dan penindakan cepat tetap penting.
Di kedua pasar, kasus-kasus baru-baru ini menunjukkan bagaimana eksfiltrasi dapat dibuat agar terlihat seperti fitur yang sah dan bagaimana pintu belakang dapat bertahan melalui penggunaan yang cerdas C2 berbasis blockchain, reverse shell, dan cloud relay. Perlakukan setiap ekstensi sebagai kode dalam rantai pasokan Anda, dan validasi dengan ketelitian yang sama seperti yang Anda terapkan pada dependensi.
Temuan-temuan ini menunjukkan sikap yang sederhana namun tak terbantahkan: perlakukan editor sebagai bagian dari batasan keamanan Anda. Dengan beberapa ekstensi VSCode berbahaya yang masih dapat diakses, laporan C2 yang didukung Ethereum di luar sana, dan bukti bahwa sebagian ekosistem yang terukur mungkin berisiko, tim yang menerapkan audit, daftar putih, pemantauan jaringan, dan edukasi pengembang akan berada di posisi terbaik untuk menjaga kode sumber dan kredensial dari tangan penyerang.
