VSCode: El editor de codigo con extensiones maliciosas
Vložit
- čas přidán 16. 06. 2024
- En este video, analizamos cómo las extensiones maliciosas de Visual Studio Code pueden hackear tu sistema, mostrando un caso real y las preocupantes estadísticas. También probamos una herramienta para detectar estas amenazas.
Artículo analizado: / 2-6-exposing-malicious...
▶ No te pierdas más directos en: / midudev - Věda a technologie
Hay que hacer una extension revisor de la comunidad, en directo!
MIDU (Malware Investigator Detector Universal) DEV (Detector Extension Visualstudio)
Podria con simplemente la lista y versiones de las extensiones analisar una vez y cachear para futuras consultas
Como tambien podria ser una web que se le pasa la lista de extensiones+versiones
jajajajaj lolazo
Idea millonaria.
Ahora me soy cuenta que la VS no era de Visual Studio sino de Virus Source
Facts
Ojo visual studio no es lo mismo que VSCode son dos cosas distintas ambas usadas para programar.
@@awaken5622 sip esta el visual studio y el visual studio code
@@awaken5622 asi mismo bro, esta el visual studio y visual studio code o mejor dicho virus source code
deverdad esto es preocupante que una empresa del tamaño de microsoft no tenga una revision detallada de las extenciones que se emplean e vsc siendo la mayoria programadores o estudiantes de programacion que utilizamos vsc como editor principal y que muchas veces se manejen datos tan privados de una compañia o de uno mismo y que atacantes puedan utilizar esos datos y venderlos a su gusto me aterra y mas por que vsc es lo que mas se utiliza actualmente gracias midu
Yo creo que cuando uno instala un programa aparecen los terminos y condiciones.
Con amigos así no Necesitamos Enemigos, muchos Éxitos, saludos...
11:35 momento Windows Update
*hola soy w11 ¿quieres actualizar?*
Visual Studio Code está hecho con electron que prácticamente era inseguro por defecto, permitiendo que todos sus procesos pudieran acceder a las APIs de NodeJs de manera abierta, fue hasta cierto tiempo después que se empezaron a ver temas de seguridad que dejaron los flags de seguridad activos por defecto, tanto para limitar el acceso a las APIs de Node de forma directa como para aislar el contexto de ejecución de Javascript de cada proceso, esto obviamente introdujo breaking changes porque ahora las aplicaciones que utilizaban APIs de Node en otros procesos que no fuera el principal (proceso que realizar el arranque de todo lo necesario para levantar la aplicación) ya no podían acceder a las APIs de Node directamente, e introdujeron una forma de comunicación entre procesos para permitir a los desarrolladores crear canales de comunicación entre el proceso principal y los subprocesos.
Quiero pensar que Visual Studio Code fue escrito en el tiempo donde los flags de seguridad estaban desactivados por defecto y electron estaba en sus primeras etapas, por lo que el tema de extensiones al final hereda estas carencias de seguridad, y aunque ha pasado el tiempo, las herramientas han evolucionado y Visual Studio Code tenga una API para exponer ciertas funcionalidades, este no realizan el sandboxing de las extensiones para mantener la compatibilidad con todas las extensiones disponibles a día de hoy, es un intercambio doloroso, pero tiene sentido. Y aunque pensemos que es una falta a la seguridad del usuario final, otros ejemplos de este tipo de escenarios donde se busca mantener compatibilidad con las cosas que funcionaron desde siempre, pero luego empezaron a haber problemas de seguridad tenemos por ejemplo que el método HTTP POST es considerado parte de las solicitudes simples y seguras aunque en su semántica no lo sea, por lo que el CORS no imposibilita su ejecución en el servidor, luego tenemos el tema de las cookies que por defecto siempre han sido adjuntadas a partir de cualquier solicitud que se realiza al dominio al que pertenecen y hasta día de hoy es el comportamiento por defecto salvo excepciones donde se aplican otras medidas de seguridad que pueden o no estar por defecto según que navegador sea.
No sé hasta que punto le sale rentable a Microsoft romper el editor para mitigar esto o realizar verificaciones estrictas de las extensiones que son publicadas mediante procesos manuales y automatizados, considerando que es un producto que les genera entre 0 y nada, pero ellos sabrán, son los expertos jaja.
Muchas gracias por tu información 👍
por eso es mejor usar el bloc de notas nomás (?
Xd
Visual studio code es de Microsoft... que buen caballo de trolla que nos ha metido el buen, generoso y bondadoso Bill, que no se pierda la costumbre. XD
Es increíble que haya tardado tanto en saltar la liebre...
A ver si Micro$oft compra ExtensionTotal y lo monta nativo al VS... Sería un detalle...
10:19 estaba tomando y casi me ahogo, no me esperaba ese comentario
Oooook, me quedo con mi VIM + Plugins xD
tambien! pero con neovim, lua es genial
No se si soy el unico, pero busque la pagina web por la url y me salio que no es segura, asi que la busque solo por el nombre y no me aparece, se me hizo raro
Respecto a la sandbox, el termino viene de cuando dejas a un niño pequeño en la típica caja de arena (mucho mas típica en USA) el niño cree que puede hacer lo que quiera, hace lo que quiere, pero realmente esta en un entorno que es imposible que la lie... Pues en código es lo mismo, lo metes en un entorno donde el código pude hacer lo que quiera, pero cualquier cosa que haga no saldrá de ese entorno (en teoría)
Creo que lo mejor es que creen un verificado real, y que las empresa que quieran verificar tengan que pagar un certificado y revisado del código de la extensión. Simplificando; lo mismo que hace Apple para subir una app a la tienda. Y por otro lado que mejores la parte de que cada extensión corran en su propio entorno como Docker
Hay una razón justificable para leer variables de entorno de node. Cuando una extensión lee las variable de ambiente no lee la de los .env si es que no carga el archivo. Sucede que pueden ser usadas con fines estadísticos para mejoras de performance por ejemplo.
Que les archivos del sistema ya es demasiado sucio.
Hola midu
Esta noticia me hizo desinstalar extensiones que ni eran peligrosas.
Tengo un problema desde siempre y no se como resolverlo.
Al entrar en los HOST con VSCode por SSH este instala la tipica carpeta oculta .vsc y dentro sube un monton de archivos de las extensiones.
El problema es que siempre se queda una de estas extensiones enganchada gastando recursos y mi host me bloquea la IP ademas de limitar el host por uso excesivo de recursos.
El caso es que aun deshabilitando las gran mayoría de extensiones me sigue pasando.
Asi que solo entro por SFTP, perdiendo gran parte de la potencia que VSCode proporciona si lo hiciera por SSH
conoces alguna solucion para esto?
Entonces estamos más protegidos los que usamos VSCode en paquetería flatpak o snap porque seria sandboxes VsCode estaría aislado del SO.
pienso que ya debe cobrar por publicar una extensión en vscode, y así pueda verificarse manualmente.
Me parece que llegado a este punto, midu debería ayudarnos a impedir este problema de seguridad
MIDU, por favor has un curso o projecto de REACT NATIVE.
ahora a usar las extensiones minimas posibles
Lo que siempre ha sido recomendado de por si en todos los navegadores (donde son más usuales las extensiones)...
Por ejemplo si en Chrome/Firefox solo tengo Ublock Origin para detener vectores de ataque, lo lógico es que un Editor de Código Electron (Base Chromium/blink) con soporte de extensiones sea igual
Y si no olvidamos a SUBLIME TEXT y seguimos allí 👍🏻
Bueno pero entonces no que quieren todo OPEN SOURCE?
Y ahora a rezar para que nuestro equipo no sea hackedo 😅
Que les parecería que se hiciera una páginas que escanee una extensión
Pero ya lo mostro en el video que hace ese proceso
Amigos, ¿cual es la extension que se ocupa para tener los iconos de archivos, extensiones y de copilot en la parte superior del vsCode ?
Click derecho en la barra y seleccionar "Posición de barra de actividad" > "Superior"
VS Code es el santo grial de la programación
Comentar que el archivo /etc/passwd no contiene la información de contraseñas sino la información de todos los usuarios del sistema linux, las contraseñas encriptadas se almacenan en /etc/shadow
Es verdad que eso era en sistemas antiguos (que también tenía la contraseña cifrada). Aunque sigue sin pintar bien que tenga que acceder a ese archivo.
Larga vida a jetbrains
Midu alguna lista negra de ext de vs
VScode, su mayor virtud es tmb una gran desventaja
Será hora de empezar con project idx????
Y ahora k uso? D:
lo del process env me asustó :(
Y quien escanea a ExtensiónTotal?
Gracias a esto sigo prefiriendo los IDE de intellij idea
Tu has leído la nueva licencia de intellij idea, mírala y te lo dice alguien que lo ha usado por años pero no pienso dejar entrenen su IA con mi código personal. Yo me quede roto cuando lo vi, está puesto muy sutil como hacen las empresas por nuestro bien. Un saludo.
@@Veoduendes Pero la IA que te ponen en el IDE es opcional o me equivoco? si es así sería bueno que re-lea los terminos & condiciones de la licencia
Después de VSCode hay vida.
Los mortales: etecé password 😤
Los pijoparlantes: itisí password 🧐🍷
Midudev: *etcétera* password 🥴
Nunca he escuchado a nadie decir etecé o iticí, desde pequeño todas las personas que he conocido dicen etcétera, incluído mis padres, profesores del colegio, de la universidad, amigos de mis padres, en el trabajo, y en el ejército, tú dónde vives? Porque a lo mejor eres de una cultura muy diferente
Dadle un ojo al vídeo de S4vitar sobre el tema, mas q recomendado. Pa mear y no exar gota😅
Por que todo lo que tiene que ver con microsoft tiene problemas de virus y de seguridad?
No es culpa de microsoft, el problema es que es open source y cualquiera puede crear extensiones, hay tienen su open source.
@@awaken5622 si es culpa de microsoft porque ellos son los dueños de la tienda donde estan las extensiones, y son los responsables de chequear todo lo que se sube ahi. El open source es 100 veces mas seguro y lleva años demostrandolo, la mayoria de los servicios de internet que conoces y no conoces funcionan hoy en dia con alguna variante de software libre, ya sea en sistemas operativos que lo soportan, APIs y otras cosas. El que las extenciones de un IDE puedan hacer semejante cosa es un problema del diseño del IDE, lee bien el articulo donde se explica como lograron vulnerar vscode.
sublime text no me vayas a hacer lo mismo 😔
ok, vuelvo a neovim, gracias por la info
Para que no lo este constantemente pagando el usuario final
Podría pagarlo el que va subir la app por la verificación
Que rapido lo hicieron de pago, ya no es gratuita la extensionTotal
Mantecado... Second Commit, digo comment.
Pregunta... con figma que pasa?
He creado una extensión recientemente
Figma crea un (tu plugin) y lo inyecta en la web de figma
No hay acceso a ficheros ni nada, solo pueden mandarse mensajes entre el padre (nodos de figma) y el hijo (tu plugin)
Un ataque con una extensión de figma creo que no debe ser fácil de hacer
Y por cierto, los plugins de figma parece que si son revisados por el equipo de figma
Aunque dudo que revisen el código fuente
y por eso hay que aprender a usar neovim
yo con mi VSCodium en mi bolsillo
Usan el mismo repositorio de extensiones. Si la extension esta en VSCode, tambien esta en VSCodium
Yo con mi bloc de notas en la mochila 🗿
Se viene el declive de vscode típico así cómo subió así caerá. Culpa de Microsoft con tal de ser el editor #1 sacrificó seguridad. 😑
Candela... First comment
usen vim y ya
Hay que volver a NetBeans
Me parece ridículo que ahora de repente todo el mundo se alarme. No sé desde hace cuantos años existe la documentación de VSC Extensions, pero cualquiera que le haya dedicado un par de horas sabe de sobra que tiene acceso al sistema fuera de VSC. Lleva siendo inseguro desde el día 0, la gente es muy ignorante, da igual el sector que sea. PS: mi extensión está marcada como riesgo Medio en esta web. Uso filesystem para modificar Git hooks. Le falta mucho a esta herramienta.
Pasa que la gente peca de confiada, por eso cuando ocurre la gran revelación se escandalizan
Uno espera que si dice 'verificado" este verificado jajaja
@@Jefferson4026 es que les costaba 0 revisar lo de los verificados, porque para noobs es un campo de minas.
Tienes que entender que nadie sabe todo, sin importar el qué, decir que alguien debería saber algo es lo mismo que decir que todos deberían saber lo mismo que todos los demás, y eso está muy equivocado, es mejor aportar para crear conocimiento alrededor de las personas que quejarse de las personas por no saber algo
Mi pana el que piensa que es mister robot 😂
Otra buena razón para cambiarse a neovim
Yo usare nano
S4vitar sal de este cuerpo
ya lo decía mi abuelo antes de ir a cagar: por eso uso emacs
si hacen sandbox las apps no se podran hacer muchas cosas con ella ya que algunas depende que entren a tu codigo
En el sandbox se podría dar acceso al código. Que sea un sandbox no significa que no tenga acceso a cosas si no que sea de forma controlada.
Que grande , Midu sacrificando su ano por la comunidad
Es por eso que prefiero neovim
cuanto te pagaron de extension total Midu ?!! xdxd