Microsoft здійснила термінове видалення двох надзвичайно популярних розширень Visual Studio Code – Material Theme – Free та Material Theme Icons – Free – через виявлення потенційно шкідливого коду. Ці розширення, які сумарно мали майже 9 мільйонів завантажень, становили серйозну загрозу безпеці середовища розробки.
Виявлення та аналіз загрози безпеці
Фахівці з кібербезпеки Аміт Ассараф та Ітай Крук провели детальний аналіз розширень та виявили критичні проблеми безпеки. Основною загрозою став підозрілий код, впроваджений через оновлення, що вказує на можливу атаку supply chain або компрометацію облікового запису розробника. Особливе занепокоєння викликав факт наявності виконуваного коду в темах оформлення, які за своєю природою повинні містити лише статичні JSON-файли.
Технічний аналіз виявленої вразливості
Дослідження показало наявність обфускованого JavaScript-коду у файлах release-notes.js. Спеціалісти Microsoft підтвердили присутність додаткового підозрілого коду, що призвело до негайного блокування видавця та автоматичного відключення розширень на всіх встановлених копіях VS Code. Така швидка реакція демонструє серйозність виявленої загрози.
Позиція розробника та технічні деталі
Маттіа Асторіно, автор розширень, пояснює ситуацію проблемами із застарілою залежністю sanity.io, яка використовувалася для відображення release notes. За його словами, ця залежність успішно проходила перевірки безпеки з 2016 року, але нещодавно могла бути скомпрометована. Спроба випустити оновлену версію під назвою Fanny Themes також була заблокована Microsoft.
Рекомендації щодо забезпечення безпеки
Для мінімізації ризиків користувачам VS Code рекомендується негайно видалити наступні розширення: equinusocio.moxer-theme, equinusocio.vsc-material-theme, equinusocio.vsc-material-theme-icons, equinusocio.vsc-community-material-theme та equinusocio.moxer-icons. Цей інцидент підкреслює критичну важливість регулярного аудиту розширень та залежностей у середовищах розробки.
Компанія Microsoft планує опублікувати детальний звіт про виявлену шкідливу активність у репозиторії VSMarketplace на GitHub. Цей випадок служить важливим нагадуванням про необхідність постійного моніторингу безпеки навіть широко використовуваних інструментів розробки та своєчасного реагування на потенційні загрози. Розробникам рекомендується регулярно перевіряти встановлені розширення та слідкувати за оновленнями безпеки від офіційних джерел.
