Microsoft a rétabli les extensions « Sans thème matériel » et « Sans icônes de thème matériel » sur le marché Visual Studio après avoir constaté que le code obscurci qu’elles contenaient n’était pas réellement malveillant.
Les deux extensions VSCode, qui comptent plus de 9 millions d’installations, ont été retirées du marché VSCode fin février pour des raisons de sécurité, et leur éditeur, Mattia Astorino (alias « equinusocio ») a été banni de la plateforme.
« Un membre de la communauté a effectué une analyse approfondie de la sécurité de l’extension et a trouvé plusieurs drapeaux rouges indiquant une intention malveillante et nous l’a signalé », a déclaré un employé de Microsoft à l’époque.
« Nos chercheurs en sécurité chez Microsoft ont confirmé cette affirmation et ont trouvé du code suspect supplémentaire. »
Les chercheurs Amit Assaraf et Itay Kruk, qui déployaient des scanners alimentés par l’IA recherchant des soumissions suspectes sur VSCode, les ont d’abord signalés comme potentiellement malveillants.
Les chercheurs ont déclaré à Breachtrace que leur évaluation à haut risque pour le thème matériel provenait de ce qui a été détecté comme la présence de capacités d’exécution de code dans les « notes de publication » du thème.js », qui était également fortement obscurci.
Astorino s’est immédiatement opposé aux allégations et à la suppression de ses extensions du marché VSCode, alléguant que le problème provenait d’un système obsolète sanity.io dépendance utilisée depuis 2016 pour afficher les notes de version du CMS sans tête sanity.
L’éditeur a déclaré qu’il aurait pu supprimer cette dépendance des thèmes en quelques secondes si Microsoft les avait contactés, mais au lieu de cela, ils se sont vus bannis sans avertissement.
« Il n’y avait rien de malveillant. Je n’avais pas mis à jour l’extension depuis des années depuis que je me concentrais sur la nouvelle version, à part le processus d’obscurcissement », a déclaré Astorino à Breachtrace aujourd’hui par e-mail.
« Le seul problème était un script de construction qui s’est retrouvé dans l’index distribué.js (se référant aux icônes de thème matériel). Ce script a été utilisé pour générer des fichiers JSON après avoir extrait des icônes SVG d’un référentiel source fermé-quelque chose que j’ai supprimé il y a longtemps. »
« En ce qui concerne le thème matériel, le processus d’obscurcissement incluait involontairement le sanity.io Client SDK, qui contenait des chaînes référençant des mots de passe ou des noms d’utilisateur (le client d’authentification). Cependant, ceux—ci n’étaient pas nocifs-juste le résultat d’un processus de construction défectueux effectué il y a longtemps. »
Extensions de retour dans VSMarketplace
Scott Hanselman de Microsoft s’est excusé auprès d’Astorino hier dans un numéro de GitHub ouvert par le développeur demandant que son compte et ses thèmes soient rétablis.
« Le compte de l’éditeur pour le Thème matériel et les icônes de thème matériel (Equinusocio) a été signalé par erreur et a maintenant été restauré », lit-on dans le message de Hanselman.
« Dans l’intérêt de la sécurité, nous sommes allés vite et nous avons foiré. Nous avons supprimé ces thèmes car ils déclenchaient plusieurs indicateurs de détection de logiciels malveillants au sein de Microsoft, et notre enquête est parvenue à une conclusion erronée. »
« Encore une fois, nous nous excusons que l’auteur ait été pris dans le rayon de l’explosion et nous attendons avec impatience leurs futurs thèmes et extensions. Nous avons correspondu avec lui et l’avons remercié pour sa patience », a poursuivi Hanselman.
De plus, Hanselman a déclaré que Visual Studio Code Marketplace mettra à jour sa politique sur le code obscurci et mettra à jour ses scanners en conséquence pour éviter d’agir rapidement sur les projets à l’avenir.
Interrogé par Breachtrace sur ce développement, le chercheur en cybersécurité Amit Assaraf a continué à affirmer que l’extension contenait du code malveillant. Cependant, il n’y avait aucune intention malveillante de la part de l’éditeur, commentant que « dans ce cas, Microsoft est allé trop vite. »
Selon Astorino, les extensions de thème Matériel sur le marché VSCode ont été complètement réécrites et peuvent être utilisées en toute sécurité.