Lỗ hổng trong IDE như Visual Studio Code giúp extension độc vẫn hiển thị “Verified”

02/07/2025 08:00:00

Một lỗ hổng cho phép kẻ tấn công tạo extension giả mạo hiển thị dấu “Verified” trên các IDE nổi tiếng và chạy mã độc ngay trên máy dev — người dùng cần hành động ngay.

Lỗ hổng trong IDE như Visual Studio Code giúp extension độc vẫn hiển thị “Verified”

Phát hiện mới: Có thể bypass kiểm tra “Verified” trong IDE
Các chuyên gia bảo mật từ OX Security vừa phát hiện một lỗ hổng nguy hiểm trong nhiều IDE như Visual Studio Code, Visual Studio, IntelliJ IDEA và Cursor. Lỗ hổng này cho phép kẻ xấu tạo một extension giả mạo, đóng gói dưới dạng file VSIX, sử dụng metadata giống hoàn toàn extension chính thống để vượt qua cơ chế kiểm tra “verified”.

Mặc dù extension này chưa từng được phát hành trên Marketplace, IDE vẫn hiển thị biểu tượng verified cho người dùng khi cài đặt, tạo cảm giác an toàn giả. Thực tế, phát hiện này cho phép hacker thực thi lệnh hệ thống (proof‑of‑concept đơn giản: mở ứng dụng Calculator), nhưng có thể bị lợi dụng để trích xuất thông tin đăng nhập, mã API, hoặc cài backdoor trực tiếp trên máy của lập trình viên.

Giải pháp bảo mật phải thực hiện ngay

  1. Chỉ cài extension từ chợ chính thức
    Tránh cài file VSIX tải từ GitHub, forum hoặc Slack. Chỉ sử dụng marketplace của IDE để đảm bảo tính kiểm soát.

  2. Vô hiệu hóa cài đặt VSIX thủ công nếu được phép
    Sử dụng chính sách tập trung (Intune, Jamf...) hoặc config IDE để chặn cài extension ngoài Marketplace.

  3. Giám sát và đánh giá hành vi extension
    Liên tục theo dõi hoạt động bất thường như truy cập file hệ thống, gọi dòng lệnh, hoặc trích xuất token; áp dụng EDR hoặc sandbox để phân tích.

  4. Di chuyển dữ liệu nhạy cảm ra khỏi IDE
    Không lưu token, mật khẩu trong môi trường IDE; thay vào đó dùng vault (Azure Key Vault, HashiCorp Vault) hoặc biến môi trường an toàn.

  5. Tự động kiểm tra chữ ký và hash
    Trong môi trường phát triển hoặc pipeline CI/CD, cần xác thực chữ ký điện tử và hash extension để phát hiện sớm file đã bị sửa đổi.

  6. Đào tạo đội ngũ developer về rủi ro supply chain
    Huấn luyện khả năng nhận diện extension độc, cảnh giác khi thấy dấu verified có vẻ khả nghi, và tăng cường awareness trong quy trình cài đặt.

Lỗ hổng này là lời cảnh tỉnh rõ ràng rằng “verified” không đồng nghĩa với an toàn. Với khả năng chạy mã tùy ý ngay khi developer cài extension, nguy cơ đánh cắp token, mã nguồn và cài phần mềm độc tăng cao. Hãy tạm dừng việc dùng extension bên ngoài, áp dụng kiểm tra kỹ thuật và bảo vệ môi trường phát triển để tránh hậu họa.

Hương - Theo TheHackerNews

Tin cùng chuyên mục

Xem tất cả »
Zalo Button