VSCode kod muharririga hujum qilish usuli ko'rsatildi, bu muharrirda maxsus ishlab chiqilgan manba kodini ochishda joriy foydalanuvchi huquqlari doirasida o'zboshimchalik bilan fayllarni uzatish imkonini beradi. Ushbu demoda, protsessual makrosdan foydalanadigan Rust kodini ochishda u 127.0.0.1:8080 xostiga ulanishni o'rnatadi va foydalanuvchining SSH kalitlari bilan "~/.ssh/id_rsa" faylining mazmunini yuboradi.
Murosaga kelish uchun loyiha bilan boshqa harakatlar qilmasdan faylni kod bilan ochish kifoya. Misolning ishlashi uchun VSCode rust-analizator plaginini (standart rustc kompilyatorining yuqori qismidagi bog'lovchi) va tizimda Rust tilida kod bilan ishlash vositalarining mavjudligini talab qiladi. Muammo dastlabki kod tahlili paytida protsessual makroslarni kengaytirish bilan bog'liq. Xuddi shunday effektga kompilyatsiya vaqtida ham "yuk qurish" buyrug'i yordamida erishish mumkin.
Qayd etilishicha, muammo boshqa kod muharrirlari va dasturlash tillariga taβsir qilishi mumkin. VSCode va zangni tahlil qilish faqat hujum vektorini namoyish qilish uchun ishlatiladi. Nazariy jihatdan, sintaksis kengaytmalarini yaratish va kompilyatsiya vaqtida kodni bajarish imkonini beruvchi protsessual makroslarni ochib beruvchi har qanday kod muharriri muammoga moyil. Tadqiqotchi dastlab kodni kompilyatsiya qilish jarayonida zararli harakatlar sodir bo'lish ehtimolini o'rgandi, ammo kod muharrirlarida manba kodini qayta ishlash jarayonida protsessual makroslar kengaytirilganligini aniqladi. Hujum, ehtimol, boshqa dasturlash tillariga ta'sir qilishi mumkin; masalan, Java-da izohlarni qayta ishlash xuddi shunday tarzda amalga oshirilishi mumkin.
Manba: opennet.ru