Dwa rozszerzenia do Visual Studio Code – "Material Theme – Free" oraz "Material Theme Icons – Free" – zostały usunięte z oficjalnego Visual Studio Marketplace po tym, jak wykryto w nich elementy budzące poważne wątpliwości pod względem bezpieczeństwa. Microsoft podjął natychmiastowe działania, blokując dostęp do nich i wyłączając je u wszystkich użytkowników. Sprawa dotyczy niemal dziewięciu milionów instalacji, co czyni ten incydent jednym z najbardziej znaczących przypadków ingerencji w ekosystem VSCode. Za rozszerzeniami stoi włoski deweloper Mattia Astorino, znany w społeczności jako equinusocio. Jego projekty cieszyły się ogromną popularnością, a łączna liczba pobrań jego rozszerzeń przekraczała 13 milionów. Decyzja o ich zablokowaniu wywołała spore poruszenie wśród użytkowników oraz deweloperów korzystających z motywów stworzonych przez Astorino.
Wykrycie podejrzanego kodu
Sprawa wyszła na jaw dzięki analizie przeprowadzonej przez ekspertów ds. cyberbezpieczeństwa Amita Assarafa oraz Itaya Kruka, którzy specjalizują się w badaniu rozszerzeń VSCode pod kątem potencjalnych zagrożeń. Ich raport zwrócił uwagę Microsoftu na niepokojące elementy znajdujące się w kodzie obu motywów. Podejrzenia wzbudził przede wszystkim plik „release-notes.js”, zawierający silnie zaciemniony kod JavaScript. W przypadku oprogramowania open source takie działanie jest postrzegane jako sygnał ostrzegawczy, ponieważ zaciemniony kod może ukrywać złośliwe funkcje, np. przechwytywanie danych użytkownika. Analiza wykazała obecność odniesień do nazw użytkowników oraz haseł, co natychmiast uruchomiło procedury bezpieczeństwa.
Działania Microsoftu
Po otrzymaniu raportu Microsoft przeprowadził wewnętrzne dochodzenie, które potwierdziło obawy badaczy. W konsekwencji firma zdecydowała się na zablokowanie konta wydawcy, usunięcie wszystkich jego rozszerzeń oraz automatyczne odinstalowanie ich na urządzeniach użytkowników. Przedstawiciel Microsoftu podkreślił, że działania te nie miały związku z kwestiami praw autorskich, lecz były wynikiem wykrycia potencjalnie złośliwego kodu. Równocześnie koncern zapowiedział, że w najbliższym czasie udostępni więcej szczegółów dotyczących incydentu w oficjalnym repozytorium GitHub związanym z VS Marketplace. Firma planuje również wprowadzenie dodatkowych mechanizmów zabezpieczających przed podobnymi zagrożeniami w przyszłości.
Twórca broni swoich rozszerzeń
Mattia Astorino, twórca usuniętych motywów, odniósł się do całej sytuacji, zaprzeczając, jakoby celowo wprowadził do swoich rozszerzeń jakiekolwiek złośliwe elementy. Wskazał, że źródłem problemu mogła być przestarzała zależność w użytym kodzie, związana z platformą Sanity.io, która mogła zostać naruszona przez atakujących. Jego wyjaśnienia nie przekonały jednak Microsoftu, który pozostaje przy swojej decyzji o blokadzie. W społeczności deweloperskiej rozgorzała dyskusja na temat tego, jak skutecznie chronić użytkowników przed podobnymi sytuacjami, a jednocześnie unikać przypadków niesłusznej delegalizacji narzędzi powszechnie używanych przez miliony osób na całym świecie.
Microsoft zapowiada dalsze działania mające na celu eliminację złośliwego oprogramowania z ekosystemu VSCode, co może oznaczać wzmożoną kontrolę nad rozszerzeniami dostępnymi na oficjalnym Marketplace. Sprawa budzi jednak pytania o skuteczność dotychczasowych mechanizmów zabezpieczających oraz o to, czy podobne zagrożenia mogą pojawić się także w innych popularnych rozszerzeniach.
