LINUX.ORG.RU
ФорумTalks

Новый виток макровирусов?

 ,


0

1

https://github.com/lucky/bad_actor_poc https://www.opennet.ru/opennews/art.shtml?num=55159

Достаточно установить плагин обработки макросов для соответствующего языка, и открытие проекта на этом языке выполнит заданные злоумышленником действия. Даже компилировать нет необходимости. На примере плагина rust-analyzer.

VSCode — не единственный уязвимый редактор. Это можно сделать со всеми, кто запускает макросы при открытии.

★★★★★

Для работы примера требуется наличие в VSCode плагина rust-analyzer (обвязка над штатным компилятором rustc) и наличие в системе инструментария для работы с кодом на языке Rust. 

Что удивительного в том, что исполняемый код имеет доступ к ресурсам с правами пользователя от которого он запускается?

vvn_black ★★★★★ ()
Ответ на: комментарий от vvn_black

Что он запускается сам, без явной команды запуска. Достаточно открыть для чтения то, что кажется текстовым файлом.

question4 ★★★★★ ()
Ответ на: комментарий от vvn_black

Там VSCode запускает растовский макрос просто при открытии проекта, а сам макрос крадет ssh ключи. То есть ты тупо открыл посмотреть исходники, а ключи уже всё)

goingUp ★★★★★ ()
Ответ на: комментарий от question4

А это отличается от использования сценариев сборки другими инструментами? Если оставить в стороне, что что-то выполняется не совсем явно, как в случае с rust-analyzer.

@goingUp

vvn_black ★★★★★ ()
Последнее исправление: vvn_black (всего исправлений: 1)
Ответ на: комментарий от vvn_black

Сборки нету, «злоумышленый» код запускается просто при открытии проекта. VSCode это делает для анализа кода.

goingUp ★★★★★ ()
Ответ на: комментарий от goingUp

Это понятно, но изначально внимание было на совершение вредоносных действий во время компиляции кода. И опять же упоминается cargo build.

vvn_black ★★★★★ ()
Ответ на: комментарий от vvn_black

То же самое (запуск вредоносного кода) происходит при сборке проекта. Но одно дело сборка, в сборочный скрипт можно напихать всякое (как и в любой другой скрипт), другое дело, когда ты ничего не запускал, а просто открыл исходники на посмотреть (нету ли там вредоносного кода, лол)

goingUp ★★★★★ ()
Ответ на: комментарий от vvn_black

упоминается cargo build.

Человек хотел выяснить, сколько нехороших вещей можно сделать под видом сборки проекта. Оказалось, даже запускать сборку не нужно.

question4 ★★★★★ ()
Ответ на: комментарий от vvn_black

он должен запускаться с порезанными правами на доступ ко всему, кроме того, что ему необходимо для работы

Ах да, стандартная юниксовая система прав доступа - сакс

cvs-255 ★★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 1)

я уже хотел пошутить на опеннете, что теперь бедным хакерам придется дописывать за недопрограммистами стыренный у них код:)

crypt ★★★★★ ()

Ну вот такой лорчик, не набросил, что в расте нашли уязвимость, темой не заинтересовались)

goingUp ★★★★★ ()

Ну, не удивительно, что некоторые на него тут яростно дрочат. Как можно не дрочить на дырявую мс макросню, она же просто обречена на успех.

crutch_master ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)