Microsoft a supprimé deux extensions VSCode populaires, « Material Theme-Free » et « Material Theme Icons-Free », du marché Visual Studio pour avoir prétendument contenu du code malveillant.
Les deux extensions sont très populaires, ayant été téléchargées près de 9 millions de fois au total, les utilisateurs recevant désormais des alertes dans VSCode indiquant que les extensions ont été automatiquement désactivées.
L’éditeur, Mattia Astorino (alias equinusocio), dispose de plusieurs extensions sur le marché VSCode, totalisant plus de 13 millions d’installations.
Les nouvelles des extensions malveillantes proviennent des chercheurs en cybersécurité Amit Assaraf et Itay Kruk, qui ont une expertise dans l’analyse de VSCode à la recherche d’extensions malveillantes.
Dans un rapport publié aujourd’hui, les chercheurs disent qu’ils ont découvert du code suspect dans les extensions et ont signalé leurs découvertes à Microsoft.
« Microsoft a supprimé les deux extensions du marché VS Code et a banni le développeur », lit un message d’un employé de Microsoft à Hacker News d’YCombinator.
« Un membre de la communauté a effectué une analyse approfondie de la sécurité de l’extension et a trouvé plusieurs drapeaux rouges indiquant une intention malveillante et nous l’a signalé. Nos chercheurs en sécurité chez Microsoft ont confirmé ces affirmations et ont trouvé du code suspect supplémentaire. »
« Nous avons banni l’éditeur de la place de marché VS et supprimé toutes leurs extensions et désinstallé de toutes les instances VS Code sur lesquelles cette extension est en cours d’exécution. Pour plus de clarté – la suppression n’avait rien à voir avec les droits d’auteur/licences, seulement avec une intention malveillante potentielle. »
Les chercheurs ont déclaré à Breachtrace que leur scanner spécialisé avait détecté une activité malveillante dans le code de l’extension. L’un des chercheurs, Amit Assaraf, dit qu’ils pensent que le code malveillant a été introduit dans une mise à jour des extensions, indiquant soit une attaque de la chaîne d’approvisionnement via une dépendance, soit que le compte du développeur a été compromis.
De plus, ils ont expliqué que les thèmes devaient être des fichiers JSON statiques et n’exécuter aucun code, ce comportement a donc été marqué comme suspect dans leur évaluation.
Comme vérifié par Breachtrace , les » notes de version.les fichiers » js » du thème contiennent du JavaScript fortement obscurci, ce qui est toujours un drapeau rouge dans les logiciels open source.
Une désobfuscation partielle du code a montré de nombreuses références à des noms d’utilisateur et des mots de passe. Cependant, comme le fichier était encore fortement obscurci, Breachtrace n’a pas pu déterminer de quelle manière ils étaient référencés.
Microsoft dit qu’ils publieront bientôt plus de détails sur l’extension et toute activité malveillante détectée dans le référentiel GitHub de VSMarketplace.
Le développeur des extensions, Mattia Astorino (alias equinusocio), a répondu aux préoccupations concernant les extensions malveillantes, déclarant que les problèmes sont causés par des problèmes obsolètes Sanity.io dépendance qui » semble compromise. »
« Cher @ gegtor, rien de nocif n’a jamais été expédié dans le thème Matériel., « lit un article d’Astorino dans le référentiel VSMarketplace de Microsoft.
« Nous avons juste eu un démodé sanity.io dépendance utilisée depuis 2016 pour afficher les notes de version du CMS sans tête sanity, c’était le seul problème qu’ils ont trouvé. »
« Cette dépendance existe depuis 2016 et a passé tous les contrôles depuis lors, maintenant elle semble compromise mais PERSONNE de Microsoft ne nous a contacté pour la supprimer. Ils ont juste supprimé tout ce qui posait des problèmes à des millions d’utilisateurs et provoquait une boucle dans vscode (oui, c’est de leur faute) »
« Ils ont tout cassé sans jamais nous demander des éclaircissements. La suppression de l’ancienne dépendance était une solution rapide de 30 secondes, mais il semble que c’est exactement ainsi que Microsoft fonctionne. Nous expédions également un index obscurci.fichier js contenant toutes les commandes et la logique du thème. Elle est obscurcie car l’extension est désormais fermée; cependant, si vous la supprimez, l’extension fonctionnera toujours avec des fichiers JSON simples. »
Jusqu’à ce que la situation s’éclaircisse et qu’il soit déterminé si les extensions sont malveillantes ou non, il est recommandé de supprimer les éléments suivants de tous les projets:
- équinoxe.moxer-thème
- équinoxe.vsc-matériel-thème
- équinoxe.vsc-matériel-thème-icônes
- équinoxe.vsc-communauté-matériel-thème
- équinoxe.moxer-icônes
Le développeur, Astorino, a publié plus tard ce qu’ils prétendent être une « extension complètement réécrite » sans aucune dépendance nommée « Thèmes Fanny » sur le marché VSCode, que Microsoft a par la suite supprimé.
En réponse à nos questions sur les notes de version obscurcies.fichier js, Astorino a répété ce qu’il avait posté sur GitHub, déclarant qu’une dépendance @sanity était compromise et aurait pu être rapidement supprimée s’il avait été averti.
« »Le fichier de notes de publication a été créé et utilisé pour générer une vue Web pour afficher les modifications depuis sanity.io, un CMS sans tête, en 2016 », a déclaré Astorino à Breachtrace .
« Je n’y ai jamais touché depuis, car j’étais concentré sur la nouvelle version de l’extension. La seule chose nuisible était l’ancienne (et seule) dépendance @sanity qui a été compromise. Mais je ne le savais pas. »