Хакер раскрыл способ украсть текст программы из редактора у разработчика

Новый способ атаки на редакторы исходного кода, позволяющий украсть у разработчика тексты программ, открытые в редакторе, продемонстрировал программист Джаред Харпер. Подробную инструкцию для воспроизводства атаки он выложил 15 мая на специализированном портале разработчиков GitHub.

Хакер пояснил, что если разработчик открывает у себя на компьютере рабочий проект программы в редакторе VSCode, злоумышленник может получить доступ ко всем SSH-ключам пользователя. Для этого в редакторе должны использоваться расширения, связанные с раскрытием процедурных макросов, а также специальный анализатор кода.

Исследователь рассказал, что при простом открытии проекта, когда раскрываются процедурные макросы, среда VSCode пересылает содержимое файла с ключами SSH по локальному адресу localhost: 8080, который может «прослушивать» злоумышленник. Примечательно, что разработчик может вообще не производить никаких дополнительных действий с кодом. Достаточно простого открытия проекта.

В качестве демонстрации Счастливчик (его псевдоним lucky — прим. ИА Красная Весна) Харпер использовал редактор VSCode с анализатором rust-analyzer, работающим с языком программирования Rust. Однако он подчеркнул, что подобная уязвимость может обнаружиться и в других редакторах кода и даже языках программирования, которые используют анализаторы кода.

Напомним, язык программирования Rust был сравнительно недавно разработан инициативной группой Mozilla. Он позиционируется как альтернатива одному из наиболее распространенных на сегодняшний день языку программирования C/C++.

Отметим, редактор кода VSCode был разработан корпорацией Microsoft. На сегодняшний день многие среды разработки программ используют анализаторы кода, которые позволяют существенно облегчить труд разработчиков.