Zniknięcie rozszerzeń z VSCode Marketplace
Pod koniec lutego użytkownicy Visual Studio Code zauważyli, że dwa popularne rozszerzenia – „Material Theme – Free” oraz „Material Theme Icons – Free” – zostały nagle usunięte z oficjalnego marketplace'u. Zmiana ta dotknęła miliony użytkowników, ponieważ oba narzędzia miały łącznie ponad 9 milionów instalacji. Ich twórca, Mattia Astorino, znany pod pseudonimem „equinusocio”, został jednocześnie zablokowany na platformie. Według pierwszych informacji przekazanych przez Microsoft, decyzja o usunięciu rozszerzeń wynikała z podejrzeń o obecność złośliwego kodu. Pracownicy firmy poinformowali, że zgłoszenie w tej sprawie przyszło od członka społeczności, który po przeprowadzeniu analizy bezpieczeństwa zauważył potencjalnie niebezpieczne fragmenty kodu. Microsoft przeprowadził własne badanie i również uznał, że obecność zaciemnionego kodu oraz podejrzanych funkcji stanowi zagrożenie dla użytkowników.
Twórca rozszerzeń odpiera zarzuty
Astorino stanowczo zaprzeczył oskarżeniom, podkreślając, że jego rozszerzenia nie zawierały złośliwego kodu. Wyjaśnił, że problem wynikał z przestarzałej zależności związanej z platformą sanity.io, używanej do prezentacji informacji o wydaniu. Twórca zaznaczył, że Microsoft mógł po prostu skontaktować się z nim w tej sprawie, a rozwiązanie problemu zajęłoby zaledwie kilka sekund. Zamiast tego został nagle zbanowany, a jego praca usunięta bez ostrzeżenia. Wydawca dodał również, że kod, który wzbudził podejrzenia, był częścią skryptu budującego pliki JSON, a jego obecność nie miała żadnych szkodliwych konsekwencji. Proces zaciemniania kodu, który Microsoft uznał za podejrzany, miał na celu jedynie ochronę pewnych funkcji związanych z przetwarzaniem ikon z repozytorium o zamkniętym kodzie.
Microsoft przyznaje się do błędu
Po kilku dniach intensywnej dyskusji w społeczności programistycznej Microsoft przyznał, że popełnił błąd w ocenie sytuacji. Scott Hanselman, jeden z przedstawicieli firmy, oficjalnie przeprosił Astorino za zamieszanie i poinformował, że jego konto oraz rozszerzenia zostały przywrócone. Firma przyznała, że działała zbyt pochopnie, kierując się chęcią ochrony użytkowników przed potencjalnymi zagrożeniami. Dodatkowo, Hanselman zapowiedział, że Visual Studio Code Marketplace zaktualizuje swoje polityki dotyczące wykrywania i analizy zaciemnionego kodu. W przyszłości Microsoft planuje unikać tak drastycznych działań bez wcześniejszej dogłębnej analizy.
Czy bezpieczeństwo VSCode było zagrożone?
Choć Microsoft podjął decyzję o przywróceniu rozszerzeń, niektórzy badacze bezpieczeństwa nadal uważają, że kod mógł stwarzać pewne ryzyko. Ekspert Amit Assaraf, który uczestniczył w analizie podejrzanego oprogramowania, stwierdził, że choć kod wykazywał cechy charakterystyczne dla złośliwego oprogramowania, to nie można jednoznacznie uznać, że jego twórca miał złe intencje. Wskazał przy tym, że Microsoft postąpił zbyt pochopnie, nie konsultując sprawy bezpośrednio z autorem rozszerzeń. Astorino zapewnił społeczność, że jego rozszerzenia zostały całkowicie przepisane i są obecnie w pełni bezpieczne dla użytkowników. Sprawa ta stała się jednak kolejnym przykładem na to, jak łatwo nawet duże firmy mogą popełnić błąd w ocenie zagrożeń cyberbezpieczeństwa, co może prowadzić do niesłusznych oskarżeń i blokad.
