พบ Extension อันตรายบน VSCode Marketplace ขโมยข้อมูลนักพัฒนากว่า 1.5 ล้านราย

ทีมวิจัยด้านความปลอดภัยจาก Koi Security ค้นพบ extension อันตราย 2 ตัวบน Visual Studio Code Marketplace ที่แอบขโมยข้อมูลของนักพัฒนาส่งไปยังเซิร์ฟเวอร์ในประเทศจีน โดยมียอดดาวน์โหลดรวมกันกว่า 1.5 ล้านครั้ง

Extension ทั้งสองตัวได้แก่ ChatGPT – 中文版 (Chinese Version) จาก publisher ชื่อ WhenSunset ที่มียอดติดตั้ง 1.34 ล้านครั้ง และ ChatMoss (CodeMoss) จาก publisher ชื่อ zhukunpeng ที่มียอดติดตั้ง 150,000 ครั้ง ทั้งคู่โฆษณาตัวเองว่าเป็น AI coding assistant แต่กลับแอบซ่อนฟังก์ชันขโมยข้อมูลโดยไม่แจ้งให้ผู้ใช้งานทราบหรือขอความยินยอม Koi Security ตั้งชื่อแคมเปญนี้ว่า “MaliciousCorgi” โดยพบว่า extension ทั้งสองใช้โค้ดและโครงสร้าง spyware เดียวกัน

กลไกการขโมยข้อมูลมี 3 รูปแบบ ได้แก่ การ monitor ไฟล์แบบ real-time ที่จะอ่านและส่งเนื้อหาทั้งหมดของไฟล์ที่เปิดออกไปทันทีผ่าน Base64 encoding และ hidden iframe, การดึงไฟล์แบบ batch ที่สามารถส่งไฟล์ได้สูงสุด 50 ไฟล์ต่อครั้งจาก workspace ของเหยื่อ และการใช้ zero-pixel iframe เพื่อโหลด analytics SDK จากจีน 4 ตัว ได้แก่ Zhuge.io, GrowingIO, TalkingData และ Baidu Analytics เพื่อติดตามพฤติกรรมและสร้าง identity profile ของผู้ใช้งาน

ข้อมูลที่มีความเสี่ยงถูกขโมยรวมถึง source code, configuration files, cloud credentials และไฟล์ .env ที่มี API keys ปัจจุบัน extension ทั้งสองยังคงอยู่บน VSCode Marketplace แนะนำให้นักพัฒนาตรวจสอบและถอนการติดตั้งทันทีหากพบว่าใช้งานอยู่ รวมถึงเปลี่ยน credentials ที่อาจถูกเปิดเผย

ที่มา: https://www.bleepingcomputer.com/news/security/malicious-ai-extensions-on-vscode-marketplace-steal-developer-data/