Microsoft Povlači Populare VSCode Ekstenzije Zbog Zlonamjernog Koda
Microsoft je nedavno povukao dvije popularne ekstenzije za Visual Studio Code (VSCode) sa svog tržišta nakon što je otkriven zlonamjerni kod skriven unutar njih. Iako se čini da originalni programeri nisu krivci, njihova reakcija je izazvala žestoke kritike prema Microsoftu, koji je, kako tvrde, svojom oštrom odlukom nanio više štete nego koristi.
Što se Dogodilo?
Dva sigurnosna istraživača, Amit Assaraf i Itay Kruk, koristila su specijalizirani skener kako bi analizirala ekstenzije na Visual Studio Marketplaceu. Njihova analiza pokazala je da su u ekstenzijama “Material Theme – Free” i “Material Theme Icons – Free” pronađeni skriveni zlonamjerni kodovi. Ove ekstenzije su razvili Mattia Astorino (poznat kao equinusocio).
Otkrivanja i Reakcija Zajednice
- BleepingComputer je istražio dio koda i naveo da je u “release-notes.js” datotekama pronađen “teško obfuskan JavaScript”, što je uvijek upozorenje u svijetu otvorenog koda.
- Istraživači su uspjeli djelomično deobfuscirati kod, što je otkrilo brojne reference na korisnička imena i lozinke, iako nije bilo moguće utvrditi kontekst u kojem su se spominjale.
- Assaraf sugerira da je zlonamjerni kod vjerojatno dodan u nekoj od ažuriranja, što ukazuje na mogućnost kompromitiranog računa ili napad u lancu opskrbe.
Brza Reakcija Microsofta
Kako su obje ekstenzije imale približno devet milijuna preuzimanja, Microsoft je brzo reagirao: “Microsoft je uklonio obje ekstenzije s VS Code tržišta i zabranio programera”, izjavila je jedna Microsoftova zaposlenica na YCombinatorovom Hacker News. “Član zajednice izvršio je duboku sigurnosnu analizu ekstenzije i otkrio više crvenih zastava koje ukazuju na zlonamjerne namjere.”
Astorino je priznao nalaze istraživača, ali je također kritizirao Microsoft zbog toga što se nije obratio njemu prije nego što je poduzeo akciju: “Unutar Material Theme nije je isporučena ništa štetno,” izjavio je u objavi na Microsoftovom VSMarketplace repozitoriju. “Imali smo samo zastarjelu dependenciju sanity.io koja se koristi od 2016. za prikazivanje bilješki iz sanity headless CMS-a, to je bio jedini problem koji su pronašli.”
Problemi i Rješenja
Astorino je istaknuo da su bili dostupni za kontakt: “Ta dependencija postoji od 2016. godine i prolazila je sve provjere, sada izgleda kao da je kompromitirana, ali nitko iz Microsofta se nije obratio za uklanjanje. Oni su jednostavno povukli svu našu opremu, uzrokujući probleme milijunima korisnika.”
U brzi kontra-potez, Astorino je potpuno preradio ekstenziju bez ikakvih dependencija te ju nazvao “Fanny Themes”, no reportedly Microsoft je i ovu ekstenziju uklonio.
Zaključak
Ovaj incident ukazuje na složenost sigurnosti u svijetu otvorenog koda i potrebu za oprezom prilikom korištenja ekstenzija. Dok Microsoft nastoji osigurati tržište, važno je da se komunikacija s programerima održava kako bi se izbjegle nepotrebne štete i nesporazumi. Ovaj slučaj također upućuje na važnost redovitog pregleda i ažuriranja ekstenzija radi očuvanja sigurnosti korisnika.
