VSCode ڪوڊ ايڊيٽر تي حملو ڪرڻ جو هڪ طريقو ڏيکاريو ويو آهي، جيڪو ايڊيٽر ۾ خاص طور تي ٺهيل ماخذ ڪوڊ کي کولڻ دوران موجوده صارف جي حقن جي اندر صوابديدي فائلن جي منتقلي جي اجازت ڏئي ٿو. هن ڊيمو ۾، جڏهن کولڻ وارو رسٽ ڪوڊ جيڪو طريقيڪار ميڪرو استعمال ڪري ٿو، اهو 127.0.0.1:8080 کي ميزباني ڪرڻ لاءِ ڪنيڪشن قائم ڪري ٿو ۽ فائل جو مواد موڪلي ٿو "~/.ssh/id_rsa" استعمال ڪندڙ جي SSH چابين سان.
سمجهوتو ڪرڻ لاء، اهو ڪافي آهي ته صرف ڪوڊ سان فائل کولڻ لاء، پروجيڪٽ سان ڪنهن ٻئي ڪم کي انجام ڏيڻ کان سواء. مثال طور ڪم ڪرڻ لاءِ، VSCode کي ضرورت آھي زنگ-تجزيو ڪندڙ پلگ ان (معياري rustc ڪمپائلر جي چوٽي تي پابند) ۽ سسٽم ۾ اوزارن جي موجودگي لاءِ ڪوڊ سان ڪم ڪرڻ لاءِ Rust ٻولي ۾. مسئلو ابتدائي ڪوڊ جي تجزيي دوران طريقيڪار ميڪروس جي توسيع سان لاڳاپيل آهي. ساڳيو اثر پڻ "ڪارگو تعمير" ڪمانڊ استعمال ڪندي مرتب وقت تي حاصل ڪري سگهجي ٿو.
اهو نوٽ ڪيو وڃي ٿو ته اهو مسئلو ٻين ڪوڊ ايڊيٽرن ۽ پروگرامنگ ٻولين کي متاثر ڪري سگهي ٿو. VSCode ۽ مورچا-تجزيو صرف حملي جي ویکٹر کي ظاهر ڪرڻ لاءِ استعمال ڪيو ويندو آهي. نظريي ۾، ڪو به ڪوڊ ايڊيٽر جيڪو پروسيجرل ميڪروز کي بي نقاب ڪري ٿو جيڪو توهان کي نحو لڳائڻ جي اجازت ڏئي ٿو ۽ ڪوڊ کي ترتيب ڏيڻ واري وقت تي عمل ڪرڻ جي مسئلي لاء حساس آهي. محقق شروعاتي طور تي تحقيق ڪئي ته بدسلوڪي عملن جي امڪاني طور تي ڪوڊ گڏ ڪرڻ دوران واقع ٿينديون، پر دريافت ڪيو ته طريقيڪار ميڪرو وڌايو ويو جڏهن ڪوڊ ايڊيٽرن ۾ سورس ڪوڊ تي عمل ڪيو ويو. حملو شايد ٻين پروگرامنگ ٻولين کي متاثر ڪري سگھي ٿو؛ مثال طور، جاوا ۾، تشريح پروسيسنگ کي ساڳي طريقي سان ترتيب ڏئي سگهجي ٿو.
جو ذريعو: opennet.ru